Bezpieczne sieci Wi-Fi

Pierwszym krokiem po instalacji nowego routera lub punktu dostępowego musi być zmiana domyślnego hasła dostępu do konfiguracji urządzenia. Inaczej przypadkowe osoby będą mogły zalogować się do panelu zarządzania routera i zmienić jego konfigurację, w tym ustawienia zabezpieczeń sieci Wi-Fi.

Pierwszym krokiem po instalacji nowego routera lub punktu dostępowego musi być zmiana domyślnego hasła dostępu do konfiguracji urządzenia.

Bezpieczeństwo sieci Wi-Fi zależy od rodzaju zastosowanego standardu szyfrowania danych. Przestarzały WEP (Wired Equivalent Privacy), ze względu na słabości w algorytmie RC4 jest podatny na złamanie, dlatego też w dobrze zabezpieczonych sieciach WLAN stosuje się silniejsze szyfrowanie WPA (WiFi Protected Access) oraz następcę tego standardu IEEE 802.11i (nazywany również WPA2). Warto dodać, że sieć Wi-Fi może zostać skonfigurowana bez zabezpieczeń. Taka sieć nazywa się otwartą, do której może przyłączyć się dowolne urządzenie będące w jej zasięgu.

Do złamania zabezpieczeń sieci WEP wystarczy zwykły laptop oraz oprogramowanie, które znajdziemy w internecie. Nie potrzeba do tego żadnej specjalistycznej wiedzy, a cała operacja zajmuje nie więcej niż kilka minut. Dopiero standard WPA/WPA2 daje dobrą ochronę sieci bezprzewodowych, pod warunkiem zastosowania odpowiednio silnego (złożonego) hasła. Dlaczego to takie ważne?

Znane są metody łamania zabezpieczeń WPA/WPA2, które bazują na metodach słownikowych i siłowych. Metody te polegają na sprawdzeniu różnych kombinacji haseł, tak aby odnaleźć to, które zostało użyte do zabezpieczenia transmisji danych.

Hasło współdzielone musi być długie i trudne do złamania. Dobre hasło powinno zawierać co najmniej kilkanaście znaków będących kombinacją symboli specjalnych, małych i wielkich liter oraz cyfr. Ważne jest, aby zmienić hasło po jego ujawnieniu lub odejściu pracownika z firmy. Dobrą praktyką jest regularna zmiana hasła WPA/WPA2 w ustalonych odstępach czasu np. raz na miesiąc. Nigdy nie należy udostępniać hasła do sieci Wi-Fi przypadkowym osobom.

Zabezpieczenia WPA oraz WPA2 mogą zostać skonfigurowane do pracy w jednym z dwóch wariantów – Personal oraz Enterprise. W wariancie Personal do zabezpieczenia transmisji używany jest jeden klucz współdzielony, używany przez wszystkich klientów (użytkowników), którzy przyłączają się do sieci Wi-Fi. Ten sposób zabezpieczeń sieci Wi-Fi jest najczęściej stosowany w domach, małych firmach oraz w miejscach publicznych. W wariancie Enterprise klucze szyfrowania przydzielane są indywidualnie dla każdego klienta z osobna. Ten typ zabezpieczeń dedykowany jest dla większych organizacji; jest bowiem trudniejszy we wdrożeniu i administrowaniu.

Złamanie klucza WEP wymaga przechwycenia dużej ilości wektorów inicjujących IVs. W przypadku sieci zabezpieczonych WPA/WPA2 celem atakującego jest podsłuchanie tzw. for-way handshake, czyli czterech pakietów, jakie klient i punkt dostępowy wymieniają między sobą w trakcie dołączania użytkownika do sieci Wi-Fi.

Aby uchronić się przed podsłuchiwaniem należy zmodyfikować siłę nadawania punktu dostępowego

Aby uchronić się przed podsłuchiwaniem należy zmodyfikować siłę nadawania punktu dostępowego, tak aby objąć zasięgiem sieci bezprzewodowej wszystkie biura i pomieszczenia, ale jednocześnie ograniczyć propagację sygnału poza budynek. Moc nadawania sygnału zmienimy w konfiguracji punktu dostępowego. Domyślnie, większość urządzeń jest skonfigurowana tak, aby objąć zasięgiem sieci Wi-Fi jak największy obszar.

Mechanizm filtrowania adresów MAC jest funkcją punktu dostępowego, która umożliwia kontrolowanie dostępu do sieci Wi-Fi na podstawie fizycznego adresu karty sieciowej (MAC) klienta. W obiegowej opinii funkcja filtrowania MAC ma istotny wpływ na bezpieczeństwo sieci, bowiem tylko komputery i urządzenia mobilne, których adres dodano na listę mogą przyłączyć się do sieci bezprzewodowej. W praktyce nie jest to żadne zabezpieczenie – atakujący może w prosty sposób podsłuchać i podszyć się pod adres MAC karty sieciowej uprawnionego użytkownika.

W standardzie zabezpieczeń WPA/WPA2 - Enterprise klucze szyfrowania są każdorazowo negocjowane i przydzielane przez serwer RADIUS, dla każdego użytkownika z osobna. Uwierzytelnienie do sieci odbywa się na podstawie indywidualnej nazwy użytkownika i hasła, certyfikatu cyfrowego, tokenu lub karty kryptograficznej. W tej metodzie nie używa się klucza współdzielonego, którego ujawnienie wymusza jego zmianę na wszystkich urządzeniach przyłączonych do sieci Wi-Fi.

Aby zablokować dostęp do sieci dla wybranego użytkownika, administrator może skasować jego konto lub unieważnić wystawiony dla niego certyfikat cyfrowy, bez konieczności rekonfigurowania zabezpieczeń sieci Wi-Fi na punkcie dostępowym.

Wprowadzenie zabezpieczeń WPA/WPA2-Enterprise wymaga zainstalowania w sieci serwera RADIUS.

W sieciach, w których działa kilka punktów dostępowych, stosuje się kontrolery WLAN. Zapewniają one scentralizowane zarządzanie i monitorowanie urządzeń sieciowych z poziomu jednego interfejsu. Kontroler WLAN ułatwia tworzenie sieci Wi-Fi i pozwala uniknąć błędów w konfiguracji zabezpieczeń poszczególnych punktów dostępowych.

Przykładem wydajnego kontrolera dla sieci Wi-Fi jest Netgear ProSafe 20-AP WC7520. Standardowo, urządzenie umożliwia zarządzanie do 20 punktów dostępowych (do 50 przy zakupie dodatkowych licencji), przy czym istnieje możliwość połączenia do trzech kontrolerów w stos, aby w pełni sterować siecią Wi-Fi w której działa nawet 150 access pointów. Netgear ProSafe 20-AP WC7520 oferuje funkcje dynamicznego zarządzania częstotliwościami, co pozwala uniknąć interferencji między sieciami, przy maksymalizacji pokrycia sygnałem, ma wbudowane mechanizmy samonaprawiania się sieci z usuwaniem martwych stref WLAN a także funkcję balansowania obciążeniem przez przełączanie użytkowników do mniej obciążonych punktów dostępowych. Urządzenie wyposażono w funkcję triangulacji, która umożliwia administratorom szybkie lokalizowanie wrogich punktów dostępowych oraz przyłączonych klientów. Kontroler może oferować funkcje portalu dostępowego (captive portal), który pozwala na stworzenie bezpiecznej sieci Wi-Fi dla gości.

Funkcja WPS (Wi-Fi Protected Setup) umożliwia szybkie przyłączanie nowych urządzeń do sieci Wi-Fi, bez potrzeby wprowadzania złożonego hasła współdzielonego. Dołączenie do sieci jest możliwe na kilka sposobów: przez wprowadzenie krótkiego PIN-u na przyłączanym urządzeniu, przez naciśnięcie przycisku WPS na punkcie dostępowym i urządzeniu bezprzewodowym lub przez dotknięcie punkty dostępowego telefonem z obsługą funkcji NFC (Near-Field-Communication).

Pod koniec 2011 roku odkryto lukę, która umożliwia przeprowadzenie ataku siłowego na router z włączoną funkcją WPS i uwierzytelnianiem nowych urządzeń za pomocą kodu PIN-u. Kod ten liczy osiem znaków, przy czym ostatni jest sumą kontrolną wyliczoną na podstawie siedmiu poprzednich. W przypadku wprowadzenia błędnego kodu PIN, punkt dostępowy odsyła do klienta informację, że pierwsza część kodu (4 cyfry) są niewłaściwe. To daje do odgadnięcia 10 000 kombinacji dla czterech początkowych cyfr PIN i 1000 kombinacji dla kolejnych trzech. Jeśli to możliwe, warto wyłączyć funkcję WPS w konfiguracji punktu dostępowego, bowiem liczba prób do odgadnięcia kodu PIN wynosi jedyne 11 000 różnych kombinacji cyfr.

Firma Kaspersky Lab Polska opublikowała raport z ostatniego badania bezpieczeństwa sieci Wi-Fi w polskich miastach. Najnowsze badanie objęło sieci działające we Wrocławiu, Łodzi oraz Bydgoszczy. Analizie poddano około 10 000 sieci bezprzewodowych, które wykryto na trasie przejazdu liczącej niemal 170 kilometrów.

Z przeskanowanych miast najlepiej wypadł Wrocław, gdzie do zabezpieczenia ponad 65% sieci Wi-Fi użyto WPA/WPA2. Tylko 15,14% sieci zabezpieczonych było przestarzałym WEP – co ja zauważają autorzy raportu – jest jednym z najniższych wyników, jaki odnotowano w historii tych badań w Polsce. W Łodzi zanotowano wysoką liczbę (27,14%) sieci otwartych, niezabezpieczonych żadnym protokołem, do których może zalogować się każdy kto znajdzie się w zasięgu takiej sieci. Jednocześnie 16,34% sieci Wi-Fi w Łodzi zabezpieczonych przez WEP, który jest prosty do złamania już przez średnio zaawansowanego użytkownika komputerów.

Badanie przeprowadzone przez Kaspersky Lab Polska pokazuje, że w kwestii bezpieczeństwa sieci Wi-Fi nadal pozostaje wiele do zrobienia.

Przykład Łodzi pokazuje, że nadal są miasta, w których niemal połowa sieci jest słabo zabezpieczona lub nie jest zabezpieczona wcale. Autorzy raportu dostrzegają jednak z roku na rok wyraźną poprawę na korzyść lepiej zabezpieczonych sieci WPA/WPA2.