Hlavní navigace

Bezpečnost WLAN podle IEEE

Rita Pužmanová 23. 4. 2002

V minulých dvou diskusích o bezdrátových LAN jsme se věnovali normám IEEE 802.11. Upozornili jsme na bolavé místo WLAN, a to bezpečnost, která ve stávajících řešeních 802.11a a 802.11b není uspokojivá. Podívejme se podrobněji, jak problém vypadá a kterak lze bezpečnost vylepšit prostřednictvím IEEE 802.1x.

V prvním díle seriálu o normách IEEE pro bezdrátové lokální sítě (WLAN) – viz Bezdrátové lokální sítě WLAN podle IEEE – jsme naznačili, na jakém principu pracuje v současnosti nejpoužívanější typ WLAN: IEEE 802.11b (WiFi). Uvedli jsme, že bezpečnost přístupu do WLAN a zabezpečení komunikace po síti neodpovídá potřebám dneška (a neodpovídalo už ani v době schválení normy v roce 1999). Nepoužívat WLAN vůbec tak dnes může být celkem legitimní rozhodnutí (některé vládní orgány, nebo i olympijský výbor se tak rozhodly, dokud nebude jejich bezpečnost vylepšena).

Raději si ale doplňme několik informací o bezpečnostním řešení, které stávající WLAN poskytují a podívejme se na další možnosti. (Pro ty, kdo se neúčastnili diskuse k článku Bezdrátové lokální sítě WLAN podle IEEE, jež byla téměř výhradně o otázkách bezpečnosti, doporučuji nahlédnout.) Zájemci o podrobnější rozbor těchto otázek mohou využít zdroje uvedené v závěru článku.

SSID

SSID (Service Set ID), kterým se označují přístupové body (Access Point, AP), představuje nejnižší stupeň bezpečnosti pro komunikaci ve WLAN. SSID je logický identifikátor dané bezdrátové podsítě. Může být manuálně nakonfigurován na stanici, nebo dokáže informaci o něm přístupový bod pravidelně vysílat, či může být vysílání SSID vypnuto a klient se na něj sám dotáže (probe).

TIP: Vysílání SSID (jména přístupového bodu) vypnout, aby se pro vetřelce přístup do sítě stal obtížnější – nebudou moci SSID snadno odposlechnout.

Další tipy: Wireless LANs at Risk

WEP

Protokol WEP (Wired Equivalent Privacy) pracuje jako volitelný doplněk k 802.11b (Wireless Ethernet Compatibility Alliance, WECA, požaduje k certifikaci WiFi produktů WEP povinně) pro řízení přístupu k síti a zabezpečení přenášených dat. Mnoho sítí stále ještě WEP nepoužívá (implicitně je vypnut), takže nejsou prakticky nijak chráněny, a to umožňuje moderní „sport“ v podobě tzv. war driving (viz Wireless Security: A Contradiction in Terms?) – s minimálním vybavením lze odhalit nezabezpečené sítě v poměrně značném dosahu a velkém počtu v obchodních zónách.

WEP funguje na symetrickém principu, kdy se pro šifrování a dešifrování používá stejný algoritmus i totožný statický klíč. Nejčastější (a nejslabší) 40-bitový klíč pro ověření totožnosti (autentizaci) je stejný pro všechny uživatele dané sítě (sdílený klíč) a klienti jej využívají spolu se svou adresou MAC pro autentizaci vůči přístupovému bodu. Ve skutečnosti se tedy ověřuje totožnost síťové karty, nikoli samotného uživatele. Autentizace ve WEP pracuje pouze jednostranně, nikoli vzájemně.

Šifrování přenášených dat se provádí 64-bitovým klíčem, který je složen z uživatelského klíče a dynamicky se měnícího vektoru IV (Initialization Vector) o délce 24 bitů. IV se posílá v otevřené formě a mění se s každým paketem, takže výsledná šifra je jedinečná pro každý jednotlivý paket. WEP používá šifrovací algoritmus RC4.

V závislosti na výrobci může nabízet silnější zabezpečení ve formě 128-bitového šifrování (sdílený klíč má délku 104 bitů, vektor poté 24 bitů).

Bezpečnost sítě s WEP je možno narušit snadno jak mechanicky (krádeží jednoho z koncových zařízení s příslušnou WiFi kartou), tak odposlechem. Jen na základě odposlechu lze klíče totiž snadno zlomit s pomocí přenosného počítače, karty pro 802.11 a veřejně dostupného softwaru (např. AirSnort, WEPcrack). Je proto třeba použít doplňkové metody pro zabezpečení koncového přenosu a na ochranu páteřních sítí, k nimž je WLAN připojena. Avšak ani tato opatření nezajistí, aby se někdo nepokoušel o narušení práce sítě např. útoky typu DoS (Denial of Service). Tomu může zabránit jen řízení připojení na úrovni portů přístupového bodu (AP) se silnou autentizací.

TIP: Zapnout WEP a nastavit ho na nejvyšší možnou úroveň šifrování. Nepoužívat (pokud lze) všesměrovou anténu, ale anténu, kterou je možno namířit tak, aby pokrývala pouze oblast zamýšleného příjmu (nikoli vně patra nebo budovy). Neumisťovat AP přímo k oknům.

Instalovat RADIUS (Remote Athentication Dial In User Server) a pro počáteční autentizaci uživatele před přidělením adresy IP jej propojit se serverem pro DHCP (Dynamic Host Configuration Protocol).

Další tipy: Serious WLAN Security Threats: Part I a Part II (Gerry Blackwell)

IEEE 802.1×

Pozn: 802.1× je produktem, nikoli podvýboru IEEE pro bezdrátové LAN (802.11), ale podvýboru IEEE 802.1: Higher Layer LAN Protocols Working Group. 802.1aa je jako nový projekt IEEE určen na „údržbu“ (kosmetické úpravy) základní normy 802.1×. (Více informací o IEEE v článku Bezdrátové lokální sítě WLAN podle IEEE II).

IEEE 802.1× (Port-Based Network Access Control, 2001) je obecný bezpečnostní rámec pro všechny typy LAN, zahrnující autentizaci uživatelů, integritu zpráv (šifrováním) a distribuci klíčů. Ověřování se u WLAN realizuje na úrovni portů přístupového bodu WLAN (protokol ale není specifický pro bezdrátové sítě). 802.1× má za cíl blokovat přístup k segmentu lokální sítě pro neoprávněné uživatele.

Je založený na protokolu Extensible Authentication Protocol (EAP, RFC 2284), který byl původně vyvinut pro PPP LCP (Point-to-Point Protocol Link Control Protocol). Jedná se o mechanizmus přenosu EAP paketů prostřednictvím spojové vrstvy LAN (typu 802): zprávy EAP se zapouzdřují do rámců 802.1×. Proto se 802.1× označuje jako EAPOL (Extensible Authentication Protocol over LANs).

Ověřování ve WLAN provádí přístupový bod pro klienty na základě jejich výzvy (viz obrázek 1 802.1× autentizace) pomocí seznamu nebo externího autentizačního systému (serveru Kerberos nebo RADIUS, Remote Authentication Dial In User Service). Pouze ověřený uživatel má možnost přístupu k bezdrátové síti.

Obecný postup autentizace podle 802.1× je následující (viz obrázek 2 802.1× konverzace níže, podle Cisco Systems):

  • přístupový server k síti (Network Access Server), tj. přepínač nebo bezdrátový přístupový bod, vyšle klientovi na základě detekce jeho přítomnosti zprávu EAP REQUEST-ID;
  • klient odpoví zprávou EAP RESPONSE-ID, která obsahuje identifikační údaje uživatele; přístupový server zapouzdří celou zprávu EAP RESPONSE-ID do paketu RADIUS ACCESS_REQUEST a vyšle ji serveru RADIUS;
  • zprávy EAP jsou posílány mezi klientem a serverem RADIUS prostřednictvím přístupového serveru: na straně klienta zapouzdřeny jako EAPOL a na straně serveru jako RADIUS;
  • server RADIUS odpoví zprávou obsahujícím povolení/zákaz přístupu pro daného klienta do sítě: RADIUS ACCESS_ACCEPT/DENY, která v sobě obsahuje informaci EAP SUCCESS/FAILURE, jíž přístupový server přepošle klientovi;
  • v případě povolení (SUCCESS) je příslušný port přístupu do sítě (přes nějž autentizační komunikace probíhala) otevřen pro data daného uživatele, který je na základě úspěšného výše popsaného procesu považován za autentizovaného.

802.1× používá k šifrování dat v další komunikaci pro každou autentizovanou stanici dynamické klíče. Tyto klíče jsou známy pouze dané stanici, mají omezenou životnost a využívají se k šifrování rámců na daném portu, dokud se stanice neodhlásí nebo neodpojí.

Dynamičnost klíčů 802.1× omezuje možnosti vetřelců. Už se ovšem prokázalo, že ani 802.1× není dostatečně odolný vůči minimálně dvěma způsobům útoku (session hijacking a man-in-the-middle), které díky jednostranné autentizaci snadno umožní útočníkovi vystupovat jako oprávněný uživatel. Takže i když 802.1× má zlepšit bezpečnost bezdrátové komunikace, rozhodně nenahrazuje WEP.

IEEE 802.11i

Teprve připravovaný návrh, IEEE 802.11i (pro všechny typy WLAN), by měl zajistit dostatečně silné zabezpečení sítě (802.11i je jedna z ještě nedokončených IEEE norem, o nichž byla řeč v minulém díle – viz Bezdrátové lokální sítě WLAN podle IEEE II). To bude řešeno odolným šifrováním dat, s delším klíčem než WEP, pomocí AES (Advanced Encryption Standard) v rámci autentizačního rámce EAP, který by mělo být možné použít ve všech typech WLAN. Temporal Key Integrity Protocol (TKIP) je jedna z pravděpodobných součástí budoucí normy: TKIP používá 128-bitový klíč, a na rozdíl od WEP obsahuje dynamické klíče a zahrnuje kontrolu integrity zpráv.

První produkty mají být k dispozici do jednoho roku, protože implementace AES si vyžádá urychlení hardwaru pro šifrování a dešifrování, které by jinak mohlo výrazně snížit propustnost sítě. 802.11i má naději na rychlé praktické uplatnění, protože je podporují giganti jako Cisco Systems a Microsoft.

Nová norma by měla přispět také k rozvoji bezdrátových ISP (WISP, Wireless Internet Service Provider), poskytujících veřejnou službu WLAN, kteří kromě roamingu musí řešit rozdíly mezi firemními bezpečnostními mechanizmy.

Našli jste v článku chybu?

23. 10. 2002 8:05

froid (neregistrovaný)
bohuzel musim potvrdit. staci ve znamem vyhledavaci zadat tri slovicka a hned se objevi odkaz na seznam tzv. Manufacturers default Passwords a nejde o nijak kratky seznam ! bud si kupte model , o kterem se jeste nevi co ma za heslo :) anebo zamente firmware.

2. 5. 2002 0:18

Rita Pužmanová (neregistrovaný)
Ted se mi dostal do ruky Internet Protocol Journal 1Q/02, kde je shodou okolnosti clanek o 802.11 se zamerenim na bezpecnost s radou zajimavych odkazu na provedene testy. Doporucuji vaznejsim zajemcum o bezpecnostni tematiku bezdratovych LAN: http://www.cisco.com/warp/public/759/ipj_5-1/ipj_5-1_ieee_80211.html
Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: 5 přírodních tipů na bolest v krku

5 přírodních tipů na bolest v krku

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Podnikatel.cz: S.r.o. využívá cizí auto. Jak je to s daněmi?

S.r.o. využívá cizí auto. Jak je to s daněmi?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU