Bezpečnosť bezdrôtových sietí I.

linux_server.jpg V pred­chá­dza­jú­cich čas­tiach sme sa ve­no­va­li bez­peč­nos­ti li­nuxové­ho server­a. Rie­ši­li sme fi­rewall, bez­peč­nosť prís­tu­pu na inter­net, za­obe­ra­li sme sa de­mi­li­ta­ri­zo­va­nou zó­nou a po­dob­ne. Do­kon­ca sme (veľ­mi struč­ne) spo­me­nu­li aj ur­či­té zá­sa­dy bez­peč­nos­ti v na­šej ma­lej (škol­skej, pod­ni­ko­vej, inter­nát­nej...) sie­ti. Nez­mie­ni­li sme sa však o fe­no­mé­ne dneš­nej do­by – bez­drô­to­vých sie­ťach a ich bez­peč­nos­ti. A to­mu sa ten­to­raz bu­de­me ve­no­vať.

Vý­ho­dy a ne­vý­ho­dy bez­drô­to­vých sie­tí
Bez­drô­to­vé sie­te pre­chá­dza­jú ob­do­bím ob­rov­ské­ho roz­ma­chu. Vý­voj tech­ni­ky spô­so­bil naj­väč­ší roz­voj sie­tí ty­pu Wi-Fi a Blue­tooth. Dnes si sku­toč­ne za pár eur mô­že kaž­dý tro­chu zruč­nej­ší laik za­kú­piť prís­luš­né za­ria­de­nie a pos­ta­viť vlas­tnú sieť. Veď je to ta­ké jed­no­du­ché... Už net­re­ba ťa­hať ká­bel, ne­pot­re­bu­je­me li­so­va­cie klieš­te, vŕtač­ku, skrut­ko­vač, liš­ty atď. A po­tom sta­čí vy­tiah­nuť no­te­book a sur­fu­je­me. Len v tom nad­še­ní ako­si po­za­bud­ne­me na to, že kaž­dá min­ca má dve stra­ny. O tej pr­vej, po­zi­tív­nej stra­ne ho­vo­riť net­re­ba – vie­me, že prí­nos je nao­zaj ob­rov­ský, kom­fort na ne­zap­la­te­nie. Ale tá dru­há stra­na je ove­ľa zlo­ži­tej­šia. Ta­ká sieť sa to­tiž okam­ži­te stá­va ter­čom úto­ku. Jej na­bú­ra­nie nie­len lá­ka na otes­to­va­nie zdat­nos­ti rôz­nych ne­ne­chav­cov, ale aj spô­so­bu­je fir­me, ško­le, inter­ná­tu ob­rov­ské prob­lé­my. To­to nie je pa­ra­no­ja, ale reali­ta. Pre­to je dô­le­ži­té vy­uží­vať bez­drô­to­vé sie­te veľ­mi opatr­ne a pre­mys­le­ne.

Fak­to­ry zneu­ži­tia sie­te
Čo te­da mô­že spô­so­biť útok na na­šu sieť Wi-Fi?

Mô­že mať tie­to nás­led­ky:
- krá­dež prís­tu­po­vých úda­jov pou­ží­va­te­ľov sie­te
- krá­dež cit­li­vých (fi­rem­ných) dát
- zneu­ži­tie iden­ti­ty sie­te na vy­ko­ná­va­nie úto­kov na iné sie­te, kde ako útoč­ník bu­de vy­stu­po­vať na­ša sieť (tak ako keď niek­to krad­ne pod na­ším me­nom)
- za­hl­te­nie sie­te Wi-Fi zá­mer­ne zby­toč­ný­mi pa­ket­mi, čím dôj­de k zne­fun­kčne­niu
- zvý­še­nie pre­máv­ky na sie­ti, čo mô­že spô­so­biť zvý­še­né nák­la­dy (za pre­ne­se­né dá­ta a pod.)
- „krá­dež“ pre­no­so­vej ces­ty (keď sa niek­to pri­pá­ja na inter­net na náš úkor)
- na­pad­nu­tie os­tat­nej (drô­to­vej) sie­te, keď­že tie­to sie­te bý­va­jú naj­čas­tej­šie nav­zá­jom pre­po­je­né

Pod­sta­ta ri­zi­ka
Pre­dov­šet­kým mu­sí­me mať na pa­mä­ti, že od­po­čú­va­nie bez­drô­to­vej sie­te je pod­stat­ne jed­no­duch­šie ako me­ta­lic­kej sie­te – je to ako na­la­diť rá­dio, nič viac. Spô­sob pre­no­su sig­ná­lov po me­ta­li­ke (drô­toch) je vďa­ka rôz­nym tech­nic­kým a sof­tvé­ro­vým pros­tried­kom za­bez­pe­če­ný, a ho­ci „na­pich­nu­tie“ drô­tu je nie ne­mož­né, nie to ani ta­ké jed­no­du­ché. Od­po­čú­va­nie jed­né­ho káb­la me­dzi swit­chom umož­ní od­po­čú­va­nie iba dvoch nav­zá­jom spo­je­ných po­čí­ta­čov. A to naj­dô­le­ži­tej­šie – me­ta­lic­ké spo­je bý­va­jú naj­čas­tej­šie v bu­do­vách a viac pod kon­tro­lou (za­bez­pe­če­nou rôz­ny­mi tech­nic­ký­mi a or­ga­ni­zač­ný­mi opat­re­nia­mi), ale chrá­niť vzduch je sko­ro ne­mož­né.

Pod­sta­ta ri­zi­ka bez­drô­to­vých spo­jov tkvie v mož­nos­ti za­chy­te­nia ho­ci­kým, kto je v do­sa­hu. Pre­to tre­ba pri­jať vhod­ný sys­tém auten­ti­zá­cie a auto­ri­zá­cie jed­not­li­vých bo­dov, aby sa za­brá­ni­lo fa­loš­ným iden­ti­fi­ká­ciám neop­ráv­ne­ných pou­ží­va­te­ľov.

Tre­ba mať na pa­mä­ti, že bez­drô­to­vé tech­nic­ké pros­tried­ky sú nas­ta­ve­né me­tó­dou „všet­ko je po­vo­le­né“. Bu­dú te­da fun­go­vať po nas­ta­ve­ní zá­klad­ných pa­ra­met­rov (ako je IP ad­re­sa a ná­zov sie­te), ale žiad­na bez­peč­nosť nie je za­is­te­ná. Mu­sí­me sa o ňu pos­ta­rať sa­mi jej nas­ta­ve­ním.

Pr­vky bez­peč­nos­ti bez­drô­to­vých sie­tí
Keď­že naj­roz­ší­re­nej­šie bez­drô­to­vé sie­te sú sie­te Wi-Fi, pra­vid­lá bez­peč­nos­ti uká­že­me na tom­to ty­pe. Ale zá­klad­né zá­sa­dy sú plat­né aj pre os­tat­né bez­drô­to­vé sie­te.

Zá­klad­né pr­vky bez­peč­nos­ti sie­te Wi-Fi
Me­dzi zá­klad­né pr­vky bez­peč­nos­ti pat­rí:
- ná­zov sie­te
- šif­ro­va­nie ko­mu­ni­ká­cie  a hes­lo­va­ný prís­tup
- fy­zic­ká ad­re­sa za­ria­de­nia

Ná­zov sie­te
Kaž­dá bez­drô­to­vá sieť pou­ží­va na svo­ju iden­ti­fi­ká­ciu ur­či­tý ná­zov. Pri kon­fi­gu­rá­cii bez­drô­to­vé­ho sme­ro­va­ča sa ten­to ná­zov ozna­ču­je ako SSID. Pri­ro­dze­ne, väč­ši­na pou­ží­va­te­ľov sa sna­ží, aby ná­zov sie­te vy­sti­ho­val jej pod­sta­tu – nap­rík­lad na­ša škol­ská sieť má SSID GMRS (čo je skrat­ka na­šej ško­ly). Je to pre­to, aby na­ši štu­den­ti jed­no­du­cho roz­poz­na­li na­šu sieť Wi-Fi od os­tat­ných sie­tí a do­ká­za­li sa pri­po­jiť. Tak ako na­ši štu­den­ti roz­poz­na­jú škol­skú sieť, aj útoč­ník ju do­ká­že roz­poz­nať. Exis­tu­je však ur­či­tá mož­nosť ochra­ny, a to skry­tie SSID, čo zna­me­ná za­brá­niť vy­sie­la­niu náz­vu sie­te do oko­lia bez­drô­to­vé­ho sme­ro­va­ča, čím sa sťa­ží jej iden­ti­fi­ká­cia. (Priz­ná­vam sa, že vzhľa­dom na rôz­nu úro­veň zna­los­tí na­šich štu­den­tov po­ne­chá­vam vy­sie­la­nie SSID, ale v dô­le­ži­tej pod­ni­ko­vej, štát­nej či do­kon­ca ar­mád­nej sie­ti by som to ne­ro­bil.)

Šif­ro­va­nie ko­mu­ni­ká­cie a hes­lo­va­ný prís­tup
Šif­ro­va­nie ko­mu­ni­ká­cie za­is­ťu­je šif­ro­va­nie rám­cov pre­chá­dza­jú­cich me­dzi klien­tskym po­čí­ta­čom a bez­drô­to­vým sme­ro­va­čom. Je to naj­účin­nej­ší pr­vok bez­peč­nos­ti sie­te. Šif­ro­va­nie je pro­ces, kto­rým dá­ta jed­noz­nač­ne za­šif­ru­je­me po­mo­cou kľú­ča, pri­čom zo za­šif­ro­va­ných dát dos­ta­ne­me pô­vod­né dá­ta len v prí­pa­de, že poz­ná­me pri de­šif­ro­va­ní pou­ži­tý kľúč. Šif­ro­va­nie preš­lo znač­ným vý­vo­jom – od naj­jed­no­duch­šie­ho, kto­ré do­ká­že pre­lo­miť aj lep­šie zna­lý laik, po zlo­ži­tej­šie, kde zlo­me­nie šif­ry mô­že tr­vať ro­ky. Naj­zná­mej­šie a naj­čas­tej­šie pou­ží­va­né šif­ro­va­cie me­tó­dy sú:
- WEP
- WPA
- WPA2 

(Exis­tu­jú aj iné me­tó­dy, kto­ré spo­me­nie­me ino­ke­dy.)

WEP
WEP (Wired Equiva­lent Pri­va­cy) je his­to­ric­ky naj­star­šia me­tó­da rie­še­nia bez­peč­nos­ti v bez­drô­to­vých sie­ťach. Jej po­čiat­ky sa da­tu­jú od ro­ku 1999, je sú­čas­ťou nor­my IEEE 802.11. Tá­to me­tó­da je za­lo­že­ná na šif­ro­va­ní po­mo­cou sta­tic­ké­ho kľú­ča s rôz­ny­mi dĺžka­mi (64 – 256 bi­tov), tak­zva­nou prú­do­vou šif­rou RC4. Ten­to sys­tém za­bez­pe­če­nia je dnes už pre­ko­na­ný, a tak nie je veľ­ký prob­lém šif­ru pre­lo­miť. Sta­čí po­mo­cou pa­ke­to­vé­ho ana­ly­zá­to­ra na­chy­tať väč­šie množ­stvo pa­ke­tov a spus­tiť crac­ko­va­cí nás­troj, kto­rý zvlád­ne pou­žiť aj laik.  Za pou­ži­tia vhod­né­ho nás­tro­ja pre­lo­me­nie šif­ry tr­vá 2 (!) se­kun­dy.

WPA
WPA (Wi-Fi Pro­tec­ted Ac­cess) vy­uží­va vop­red zdie­ľa­né hes­lo a šif­ro­va­nie dát po­mo­cou TKIP (Tem­po­ra­ry Key In­teg­ri­ty Pro­to­col). Ten­to pro­to­kol je za­lo­že­ný na dy­na­mic­kej zme­ne šif­ro­va­cie­ho kľú­ča, me­nia­ce­ho sa prib­liž­ne po kaž­dých 10 000 pa­ke­toch. Pou­ží­va 128-bi­to­vý kľúč na en­kryp­ciu a 64-bi­to­vý na auten­ti­zá­ciu. Je tu však ur­či­té bez­peč­nos­tné ri­zi­ko, pre­to­že na ten­to druh za­bez­pe­če­nia mož­no za­úto­čiť po­čas ini­cia­li­zá­cie spo­je­nia pri pre­no­se ini­cia­li­zač­né­ho hes­la a vhod­ný­mi nás­troj­mi ho pre­lo­miť.

WPA2
Naj­nov­šia me­tó­da WPA2, kto­rá je sú­čas­ťou nor­my 802.11i, im­ple­men­tu­je do rie­še­nia no­vé bez­peč­nos­tné pr­vky, naj­mä šif­ro­va­cí al­go­rit­mus za­lo­že­ný na AES (Ad­van­ced En­cryp­tion Stan­dard). Je to blo­ko­vá šif­ra s pev­nou dĺžkou blo­ku 128 bi­tov a s dĺžkou kľú­ča 128 – 256 bi­tov. (Pred­chá­dza­jú­ce šif­ry WEP a WPA/TKIP pra­co­va­li eš­te s prú­do­vý­mi šif­ra­mi RC4.)

Filtro­va­nie fy­zic­kých adries
Ak nep­lá­nu­je­me v na­šej sie­ti čas­to me­niť klien­tske adap­té­ry ale­bo pria­mo po­čí­ta­če, či už sto­lo­vé, ale­bo pre­nos­né, mô­že­me  na bez­drô­to­vom sme­ro­va­či po­vo­liť filtro­va­nie adries MAC klient­skych adap­té­rov (MAC – Me­dia Ac­cess Con­trol – je  je­di­neč­né dva­nás­ťci­fer­né iden­ti­fi­kač­né čís­lo, pri­ra­de­né sie­ťo­vé­mu za­ria­de­niu vý­rob­com). Tou­to fun­kcio­na­li­tou po­vo­lí­me prís­tup k za­ria­de­niu, resp. k sie­ti len fy­zic­kým ad­re­sám, kto­ré má­me po­vo­le­né, os­tat­né po­čí­ta­če bu­dú mať prís­tup za­miet­nu­tý. Tre­ba po­ve­dať, že pre zna­lé­ho člo­ve­ka nie je prob­lém zme­niť ad­re­su MAC da­né­ho za­ria­de­nia a vy­dá­vať sa za náš­ho pou­ží­va­te­ľa. Ale chce to už ur­či­té zna­los­ti, nás­tro­je a hlav­ne me­tó­dy, kto­ré nie sú dos­tup­né kaž­dé­mu. Na­bu­dú­ce bu­de­me pok­ra­čo­vať.

Ďal­šie čas­ti >>

Zdroj: Infoware 1-2/2011



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

Li­nux prak­tic­ky ako server úvod
Linux ako server je pomerne zložitá technológia. Jej výhodou je určitá modularita, keď sa nemusí nastaviť celý server naraz, ale postupne. čítať »
 
Syn­chro­ni­zá­cia ča­su v Li­nuxe
V predchádzajúcich dvoch častiach sme si ukázali, že Linux a všeobecne open source softvér sa nenachádza iba v serveroch a počítačových sieťach, ale aj v iných zariadeniach bežnej domácej potreby a v oblasti hobby. čítať »
 
Za­ria­de­nia za­lo­že­né na Li­nuxe
V predchádzajúcej časti sme si spomenuli definície nie - ktorých pojmov z oblasti nášho záujmu, teda Linuxu. Vysvetlili sme si, čo je to Open Source, Public Domain, proprietárny softvér a GNU GPL. Tentoraz ukážeme, ako sa tieto pojmy využívajú v praxi. čítať »
 
Po­jmy z ob­las­ti
Tentoraz na chvíľu trochu odbočíme od bezpečnosti Linuxu a jeho siete. V tejto neštandardnej časti seriálu sa mu budeme venovať len okrajovo. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí II.
V predchádzajúcej časti sme sa začali zaoberať bezpečnosťou bezdrôtových sietí. Poukázali sme na rôzne faktory zneužitia siete, podstatu rizika a vysvetlili sme základné prvky bezpečnosti. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí I.
V predchádzajúcich častiach sme sa venovali bezpečnosti linuxového servera. Riešili sme firewall, bezpečnosť prístupu na internet, zaoberali sme sa demilitarizovanou zónou a podobne. čítať »
 
Údr­žba lo­gov – kon­fi­gu­rá­cia log­ro­ta­te
V predchádzajúcej časti sme sa venovali rotácii logov. Vysvetlili sme princíp ukladania logov, spôsob, ako sa rotujú, a uviedli sme niečo o tom, čo a ako treba nastaviť čítať »
 
Údr­žba lo­gov – ro­tá­cia
V predošlej časti sme sa zaoberali spôsobom logovania informácií na iný alebo vzdialený počítač a ukázali sme, ako riešiť problém s logovaním uzavretých procesov pomocou chroot. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter