W przypadku sieci bezprzewodowych kwestię bezpieczeństwa należy rozpatrywać w zupełnie innym świetle. W rozdziale tym postaramy się nieco przybliżyć niektóre zagadnienia, bez zbytniego zagłębiania się w techniczne szczegóły, gdyż tematyka ta jest na tyle obszerna, iż z powodzeniem można jej poświecić cały osobny artykuł. Jeśli jednak wzbudzi ona zainteresowanie, wówczas opiszemy ją znacznie dokładniej.
W odróżnieniu od tradycyjnych sieci kablowych mamy tutaj do czynienia z zupełnie odmiennym medium transmisyjnym. Jest ono dla nas niewidoczne oraz może rozchodzić się w dowolnym kierunku (w zależności od zastosowanej anteny). Powyższe czynniki możemy rozpatrywać zarówno jako zalety, ale i również jako wady, które mogą poważnie wpływać na bezpieczeństwo takiej sieci. Za prostotą instalacji kryje się również prostota podsłuchu. Na problem bezpieczeństwa w sieciach bezprzewodowych składają się zasadniczo dwie kwestie, pierwsza dotyczy autentykacji dostępu a druga szyfrowania transmisji.
Omawiany przez nas standard 802.11 zaoferował dwa sposoby autentykacji:
- autentykacja otwarta (Open Authentication)
- autentykacja współdzielona (Shared-Key Authentication)
Pierwszy z nich tak naprawdę niczego nie sprawdza i niczego nie blokuje. Do naszej sieci może dołączyć się każdy, nawet nie znający identyfikatora połączenia SSID. Jednak wbrew pozorom ma to swoje zastosowanie. Mianowicie korzystają z tego typu autoryzacji niektóre publiczne punkty dostępowe (hot-spot), gdzie założeniem jest właśnie jak największa liczba użytkowników, którzy nie będą musieli wprowadzać żadnych parametrów dotyczących połączenia.
Drugi ze sposobów autentykacji (Shared-Key) wymaga już skonfigurowania protokołu WEP. Oznacza to, że przesyłane ramki będą już szyfrowane. Autentykacja ta opiera się na sprawdzaniu przez punkt dostępowy, czy klient posiada ten sam klucz WEP (czyli WEP może być wykorzystywany do autentykacji jak i do szyfracji połączenia). Z czasem autentykacja wzbogaciła się o nową metodę polegającą na filtracji adresów MAC klientów. Punkt dostępowy posiadał listę dostępową (Access List) na której były wprowadzone adresy MAC komputerów, które mogły uzyskać połączenie lub adresy MAC komputerów, które nie były mile widziane. Minusem tej metody jest fakt, że niektóre sterowniki dla kart sieciowych umożliwiają zmianę adresu sprzętowego, czego efektem może być dostęp do sieci osoby nie powołanej, która "podszyła" się pod autoryzowanego użytkownika. Przejdźmy teraz do krótkiego opisu protokołów bezpieczeństwa.
Oryginalna specyfikacja 802.11 definiowała tylko jeden protokół bezpieczeństwa - WEP (Wired Equivalent Privacy), który został opracowany w 1997 roku. Obecnie protokół WEP korzysta z 40- lub 104-bitowych kluczy oraz 24-bitowego wektora inicjującego (IV). W efekcie klucz kodujący ma długość 64, 128 lub nawet 256 bitów. Bazuje on na jednym, statycznym kluczu i musi go znać każdy użytkownik chcący dołączyć się do sieci. Jego zmiany dokonujemy ręcznie, czyli można przyjąć że najczęściej ... bardzo rzadko. Co gorsze, protokół ten jest dostępny opcjonalnie, znaczy to, że w wielu przypadkach czy to przez zapomnienie czy przez lenistwo może zostać całkowicie pominięty. Mimo, iż protokół ten został dość szybko skompromitowany, jest on lepszym rozwiązaniem, aniżeli pozostawienia sieci zupełnie bez ochrony (co zdarza się bardzo często).
W sierpniu 2001 roku, znani kryptografowie Scott Fluher, Itsik Mantin i Adi Shamir opublikowali artykuł, w którym dokładnie był opisany algorytm szyfrujący RC4 a szczególny nacisk położono na jego luki i słabości. Protokół WEP bazuje właśnie na RC4. W sierpniu 2001 roku, student Adam Stubblefield (Uniwersytetu Rice), oraz dwóm pracownikom firmy AT&T, Johnowi Ioannidisowi oraz Avielowi Rubinowi udało się w sposób praktyczy zaprezentować to co było głoszone w tych artykułach. Wcale nie musieli korzystać ze specjalistycznego sprzętu, wystarczył komputer PC wyposażony w bezprzewodową kartę sieciową oraz nieco zmodyfikowane sterowniki.
Konfiguracja tego protokołu jest bardzo prosta. W zależności od wybranej długości klucza szyfrującego (64, 128 lub 256 bitów) mamy możliwość wprowadzenia ciągu znaków w trybie szesnastkowych (HEX) lub alfanumerycznym (ASCII), który niestety jest trochę mniej bezpieczny. Zazwyczaj możemy skonfigurować do czterech różnych kluczy a następnie po uzgodnieniu z pozostałymi użytkownikami sieci, uaktywniamy jeden nich. W niektórych urządzeniach zamiast wpisywania trudnego do zapamiętania ciągu w trybie szesnastkowym, pomocna może być funkcja automatycznego generowania klucza na podstawie podanego wyrazu, którym może być jakiś dowolny, wymyślony przez nas i łatwy do zapamiętania wyraz.
Pierwszym przełomem okazał się w 2001 roku protokół LEAP (Lightweight Extensible Authentication Protocol), który to wprowadziła firma Cisco. Podnosił on znacznie bezpieczeństwo sieci. Jego odpowiednikiem w innych urządzeniach został protokół uwierzytelniania rozszerzonego (EAP) , który dodatkowo jest wspierany przez takie protokoły jak 802.1x (blokowanie logicznych portów) czy RADIUS (uwierzytelnianie użytkowników). W tym samym czasie rozpoczęto prace nad nowym standardem bezpieczeństwa 802.11i, czego efektem już w 2002 roku był standard TKIP (Temporal Key Integrity Protocol) będący rozszerzeniem standardu WEP. Pod koniec roku 2002 zatwierdzono protokół WPA (Wi-Fi Protected Access), który jest określany jako "przejściowy" protokół mający zwiększyć bezpieczeństwo do czasu zatwierdzenia standardu 802.11i (wstępnie mówi się o czerwcu 2004). Protokół WPA poprawia praktycznie wszystkie luki jakie posiadał protokół WEP. WPA automatycznie generuje okresowo (określony czas lub ilość pakietów) unikalny klucz szyfrujący dla każdego klienta oraz dla każdej ramki (802.11). W ten sposób można uniknąć zasadniczego błędu jakim jest pozostawianie tego samego klucza przez dłuższy okres czasu (np. tydzień, miesiąc) tak jak to było w przypadku WEP. Organizacja Wi-Fi Alliance, o której już pisaliśmy, od 2003 roku przyznaje urządzeniom również certyfikat wykorzystywania tegoż właśnie protokołu. Większość z producentów udostępniła już nowe wersje oprogramowania dla swoich produktów, dzięki którym na tych starszych urządzeniach będziemy mogli zastosować protokół WPA. (Łatka firmy Microsoft dla Windowsa XP korzystającego z protokołu WPA).
Słabym punktem protokołu WPA jest rozwiązanie noszące nazwę Pre-Shared Keys (PSK), które służy do uwierzytelniania użytkowników. Jest to sposób "rezerwowy" w stosunku do zewnętrznych serwerów uwierzytelniających. Jego zasada działania bazuje na kluczach PSK. Klienci sieci WLAN opartych na technologii PSK mogą używać haseł alfanumerycznych o długości od 8 do 63 bajtów ale niestety większość producentów sprzętu WLAN pozwala stosować w sieci tylko jeden klucz PSK. Ale jeśli myślimy, iż protokół WPA już daje całkowicie odetchnąć, to niestety jesteśmy w błędzie. Robert Moskowitz (dyrektor ISCA Labs) w dokumencie "Weakness in Passphrase Choice in WPA Interface" obrazuje niektóre słabości nowego protokołu, dzięki którym niepowołana osoba może przechwytywać wszelkie dane przesyłane wewnątrz sieci LAN. Według niego w niektórych sytuacjach nowy protokół jest nawet słabszy od poprzednika, czyli WEP.
Powracając do naszych urządzeń, implementacja protokołu WPA nie jest wcale skomplikowana. Zazwyczaj do dyspozycji dostajemy tryb oznaczony jako WPA-PSK, czyli tryb z współdzielonym kluczem, wymaga podania tylko jednego alfanumerycznego hasła. Po poprawnym zidentyfikowaniu użytkownik uzyskuje dostęp do sieci WLAN.
Jeśli natomiast chodzi o profilaktyczne zabezpieczenie naszej sieci, bardzo pomocny może okazać się mini-artykuł Pawła Krawczyka pochodzący z serwisu www.ipsec.pl. Oto przed Wami:
Dziesięć przykazań bezpiecznego WLAN
- Wyłącz rozgłaszanie ESSID na koncentratorze (AP). Dzięki temu przypadkowy podsłuchiwacz nie pozna od razu nazwy Twojej sieci, co odsieje większość przypadkowych ciekawskich.
- Włącz szyfrowanie WEP z kluczem 128 bitów. Zmusi to włamywacza do spędzenia od kilku do kilkuset godzin na łamaniu Twojego klucza i powstrzyma 99% przypadkowych podsłuchiwaczy przed grzebaniem w Twojej sieci.
- Korzystaj choćby z kluczy 40 bitowych, jeśli z powodów technicznych albo organizacyjnych nie możesz używać kluczy 128 bitowych. Rezultat będzie podobny, bo podsłuchiwacz nie wie czy używany jest długi czy krótki klucz.
- Włącz WEP dla wszystkich klientów. Jedno niezabezpieczone połączenie może ujawnić włamywaczowi wiele informacji.
- Traktuj ESSID jak hasło. Nawet jeśli masz wyłączone rozgłaszanie ESSID, jest wiele programów błyskawicznie zgadujących prosty ESSID na podstawie słownika. Przypadkowy ESSID (np. "Iey2ohgu") nie jest trudny do wpisania, a bardzo przedłuża zgadywanie albo w ogóle je uniemożliwia.
- Stosuj trudne do zgadnięcia hasła WEP. Zgadywanie dotyczy również klucza WEP. Teoretycznie hasło dla 40-bitowego WEP powinno mieć około 20 znaków, a dla 128-bitowego - niemal 85 znaków (wiele urządzeń dopuszczan nawet hasła do 128 znaków), stosuj minimum hasła 10-znakowe.
- Nie zapomnij o zabezpieczeniu koncentratora WLAN. Większość AP przychodzi z domyślnymi hasłami lub w ogóle bez haseł na telnet, SNMP czy zarządzanie po WWW. Pozwala to włamywaczowi bez wysiłku poznać hasła WEP i konfigurację sieci.
- Od czasu do czasu testuj bezpieczeństwo swojej sieci. Sprawdzaj czy nie pojawiły się nieautoryzowane stacje, czy w sieci nie pojawiają się nieszyfrowane pakiety i czy ESSID nie "wycieka" przez którąś ze stacji roboczych lub AP.
- Postaw AP za firewallem. Nie podłączaj AP bezpośrednio do okablowania strukturalnego lub serwera. Postaw go za firewallem, stosując choćby minimalne filtrowanie ruchu generowanego przez stacje, które - w razie włamania do WLAN - będą przecież należeć do włamywacza.
- Do ochrony poważnych danych stosuj poważne protokoły takie jak IPSec. WEP zawsze będzie zabezpieczeniem słabym, a do tego powoduje spadek wydajności WLAN. Jeśli w Twojej sieci przesyłane są ważne dane technologiczne lub biznesowe, rsozważ skorzystanie z IPSec.
Rada na koniec: korzystaj ze wszystkich dostępnych zabezpieczeń na które możesz sobie pozwolić, choćby i najprostszych. Zabezpieczenie proste lub słabe jest zawsze lepsze niż żadne. Pamiętaj, że 90% skutecznych włamań do sieci WLAN jest rezultatem braku jakichkolwiek zabezpieczeń.
