Bezpečnosť bezdrôtových sietí II.

V pred­chá­dza­jú­cej čas­ti sme sa za­ča­li za­obe­rať bez­peč­nos­ťou bez­drô­to­vých sie­tí. Pou­ká­za­li sme na rôz­ne fak­to­ry zneu­ži­tia sie­te, pod­sta­tu ri­zi­ka a vy­svet­li­li sme zá­klad­né pr­vky bez­peč­nos­ti. Te­raz bu­de­me v tej­to té­me pok­ra­čo­vať a bu­de­me sa ve­no­vať prin­cí­pom a zá­sa­dám bez­peč­nos­ti sie­tí Wi-Fi.

Vy­sie­la­cí vý­kon a an­té­ny
Mno­ho pou­ží­va­te­ľov sie­te Wi-Fi sa z tech­nic­kej nez­na­los­ti dom­nie­va, že spo­je­nie Wi-Fi fun­gu­je len na ma­lé vzdia­le­nos­ti. Je to tak pre­to, že ho vy­uží­va­jú prá­ve na ma­lé vzdia­le­nos­ti. Pos­ta­ve­nie prís­tu­po­vé­ho bo­du Wi-Fi (ac­cess poin­tu) niek­de na chod­be pre­to, aby sme ma­li sig­nál po ce­lej bu­do­ve, spô­so­bí, že sa sig­nál ší­ri všet­ký­mi smer­mi a opúš­ťa nie­len hra­ni­ce bu­do­vy, ale aj areá­lu fir­my, ško­ly, to­vár­ne. Tre­ba si uve­do­miť, že z tech­nic­ké­ho poh­ľa­du mô­že za­ria­de­nie Wi-Fi vy­sie­lať do vzdia­le­nos­ti sto­viek met­rov a za pou­ži­tia špe­ciál­nej an­té­ny mož­no za­chy­tiť sig­nál na vzdia­le­nosť jed­né­ho ki­lo­met­ra a viac. Pre­to z poh­ľa­du ší­re­nia sig­ná­lu roz­de­ľu­je­me sie­te Wi-Fi na: všes­me­ro­vé,  kú­to­vé, úz­ko­pás­mo­vé. Kaž­dé ší­re­nie má svo­je vy­uži­tie, ale ne­sie se­bou aj ur­či­té bez­peč­nos­tné ri­zi­ká. S tým sú­vi­sia aj prís­luš­né za­bez­pe­čo­va­cie opat­re­nia.

linux_prakticky OBR1.jpg

Obr. 1

Všes­me­ro­vé vy­sie­la­nie
Všes­me­ro­vé vy­sie­la­nie sig­ná­lu Wi-Fi sa pou­ží­va hlav­ne v mies­tach, kde sa na­chá­dza ve­ľa pris­tu­pu­jú­cich klien­tov (po­čí­ta­čov) na roz­ľah­lej plo­che. Všes­me­ro­vé vy­sie­la­nie má tvar (sploš­te­nej) gu­le (obr. č. 1). Keď sa na to po­zrie­me z vtá­čej per­spek­tí­vy (obr. č. 2), vi­dí­me, že sig­nál sa nao­zaj ší­ri všet­ký­mi smer­mi – vy­ža­ro­va­cia cha­rak­te­ris­ti­ka má 360 (uh­lo­vých) stup­ňov. Aby sa za­bez­pe­či­lo spo­je­nie všet­ký­mi smer­mi, bu­du­je sa vy­sie­lač (ac­cess point – AP) spra­vid­la do stre­du ob­las­ti, kto­rú chce­me pok­ryť sig­ná­lom. Klien­tske po­čí­ta­če pou­ží­va­jú bež­né všes­me­ro­vé, naj­čas­tej­šie vsta­va­né an­té­ny. Prib­liž­ný do­sah ta­ké­ho­to spo­je­nia je 300 met­rov v ot­vo­re­nom pries­to­re a 60 met­rov v bu­do­vách.

linux_prakticky OBR2.jpg

Obr. 2

Tu však hro­zí veľ­ké ne­bez­pe­čen­stvo, že sig­nál opus­tí žia­da­ný pries­tor, nap­rík­lad bu­do­vu. Vte­dy je dob­rým rie­še­ním zni­žo­va­nie vy­sie­la­cie­ho vý­ko­nu. Mu­sí­me pos­tu­po­vať me­tó­dou po­kus – om­yl, te­da tak, aby sig­nál veľ­mi neu­ni­kal mi­mo pries­to­ru, ale zá­ro­veň aby bol dos­ta­toč­ne sil­ný na za­bez­pe­če­nie spo­je­nia so všet­ký­mi klien­tmi. Tre­ba si uve­do­miť, že vy­sie­la­nie zná­zor­ne­né na ob­ráz­koch je sku­toč­ne len ideál­ne, te­da v praxi bu­de vy­ža­ro­va­cia kriv­ka de­for­mo­va­ná. Spô­so­bu­jú to rôz­ne pred­me­ty v bu­do­ve, hlav­ne konštruk­cia mú­rov. Naj­väč­šou pre­káž­kou bý­va že­lez­ná ar­ma­tú­ra v be­tó­ne (v pa­ne­loch, ale hlav­ne v stro­pe), rôz­ne vo­do­vod­né a kú­re­nár­ske pot­ru­bia či elek­tric­ké ve­de­nie. Pre­to sa čas­to stá­va, že z dô­vo­du „dot­la­če­nia“ sig­ná­lu do mies­ta, kde je ho ne­dos­ta­tok, sa mier­ne zvý­ši vy­sie­la­cí vý­kon, čo však spô­so­bí, že sa sig­nál roz­ší­ri v inom sme­re mi­mo žia­da­nej ob­las­ti. Pre­to tre­ba zvo­liť vhod­né umies­tne­nie rou­te­ra Wi-Fi (AP) a je­ho an­tén a zvo­liť ro­zum­ný kom­pro­mis.

linux_prakticky OBR3.jpg

Obr. 3

Kú­to­vé vy­sie­la­nie
Kú­to­vé vy­sie­la­nie je efek­tív­nej­šie ako všes­me­ro­vé. Je­ho vy­ža­ro­va­cia cha­rak­te­ris­ti­ka má 90 stup­ňov (obr. č. 3). Sig­nál sa te­da ší­ri len v jed­nej štvr­ti­ne pô­vod­nej plo­chy – zvy­šok je dos­lo­va „hlu­chý“. Na vy­sie­la­či (rou­te­ri) sa pou­ží­va špe­ciál­na an­té­na  (v tva­re lo­pat­ky) a aj tu klien­tske po­čí­ta­če pou­ží­va­jú bež­né všes­me­ro­vé (vsta­va­né) an­té­ny. Prib­liž­ný do­sah ta­ké­ho­to spo­je­nia bý­va do 600 met­rov v ot­vo­re­nom pries­to­re.

Ten­to jav mož­no do­ko­na­le vy­užiť na ší­re­nie sig­ná­lu v pries­to­re, kde je as­poň je­den pra­vý uhol. Mu­sí­me si uve­do­miť, že o čo už­ší bu­de sig­nál v tom­to ší­re­ní, o to bu­de sil­nej­ší, a te­da aj vzdia­le­nosť bu­de väč­šia (v pod­sta­te sme nat­la­či­li vše­tok sig­nál do jed­né­ho 90-stup­ňo­vé­ho sme­ru). Pre­to mu­sí­me vhod­ne zvo­liť si­lu vy­sie­la­né­ho sig­ná­lu, te­da vý­kon za­ria­de­nia.

Úzko­pás­mo­vé vy­sie­la­nie
Úzko­pás­mo­vé vy­sie­la­nie sig­ná­lu Wi-Fi sa ne­pou­ží­va na vy­tvo­re­nie spo­je­nia s klien­tmi, ale na vy­tvo­re­nie vir­tuál­nej ces­ty do vzdia­le­nej­ších pries­to­rov. Veľ­mi čas­to vznik­ne pot­re­ba pre­niesť sig­nál do dru­hej bu­do­vy, vzdia­le­nej ho­ci aj ki­lo­me­ter. Vte­dy sa pou­ži­jú úz­ko­pás­mo­vé an­té­ny (v tva­re si­ta) na obid­voch kon­coch vir­tuál­nej ces­ty (obr. č. 4).

linux_prakticky OBR4.jpg

Obr. 4

Vy­sie­la­ný sig­nál v tom­to prí­pa­de tvo­rí nao­zaj úz­ky lúč, kto­rý sa ne­ší­ri zby­toč­ne do oko­lia. Vďa­ka úz­ke­mu lú­ču mož­no vy­tvo­riť spo­je­nie na veľ­ké vzdia­le­nos­ti nie­koľ­kých ki­lo­met­rov. To­to slú­ži iba na pre­mos­te­nie vzdia­le­nos­ti, po­tom tre­ba na obid­voch kon­coch vy­tvo­riť ší­re­nie pre klien­tske po­čí­ta­če už spo­me­nu­tý­mi me­tó­da­mi ale­bo kla­sic­ký­mi me­ta­lic­ký­mi spoj­mi.

Čier­ne di­ery v sie­ti Wi-Fi
Ďal­ší veľ­ký prob­lém sú ne­do­vo­le­né sa­mo­voľ­né in­šta­lá­cie prís­tu­po­vých bo­dov. Veľ­mi čas­to som sa stre­tol so si­tuáciou, keď si tro­chu ši­kov­nej­ší pou­ží­va­te­lia ur­či­tej pod­ni­ko­vej či štát­nej me­ta­lic­kej sie­te „na­čier­no“ pri­po­ji­li prís­tu­po­vý rou­ter Wi-Fi niek­de v kan­ce­lá­rii, aby si uľah­či­li pou­ží­va­nie slu­žob­ných no­te­boo­kov. Kto by stá­le pri­pá­jal ká­bel a bol ob­me­dze­ný iba na je­ho dĺžku, však? Veď to fun­gu­je, čo tam po ne­ja­kých bez­peč­nos­tných zá­sa­dách – to je pred­sa sta­rosť správ­cu sie­te. Ne­tu­šia, že tak ot­vo­ri­li za­dné dve­re na vstup rôz­nych po­ten­ciál­nych útoč­ní­kov. A to­to ri­zi­ko je nao­zaj veľ­mi veľ­ké. Keď­že ce­ny za­ria­de­ní kles­li a ich in­šta­lá­cia je jed­no­du­chá (na roz­diel od nas­ta­ve­nia bez­peč­nos­ti), správ­ca sie­te má veľ­mi ťaž­kú si­tuáciu. Ne­zos­tá­va mu nič iné, iba pra­vi­del­ne ske­no­vať vzduš­ný pries­tor v do­sa­hu svo­je sie­te a od­ha­ľo­vať tie­to čier­ne di­ery. Tu už ne­po­mô­žu ni­ja­ké tech­nic­ké opat­re­nia, iba or­ga­ni­zač­né – od vy­da­nia zá­ka­zu až po prís­ne rep­re­sie.

Zá­sa­dy bez­peč­nos­ti
Aké sú te­da zá­sa­dy bez­peč­nos­ti pri pre­vádz­ke a prá­ci v sie­ti Wi-Fi?

- Maj­me na pa­mä­ti, že bez­drô­to­vá sieť je ot­vo­re­ná všet­kým. Žiad­ne dô­le­ži­té dá­ta by ňou ne­ma­li pre­chá­dzať v ot­vo­re­nej po­do­be.
- Nas­tav­me na všet­kých kon­co­vých bo­doch naj­spo­ľah­li­vej­šie šif­ro­va­nie.
- Ih­neď po nas­ta­ve­ní spo­je­nia skry­me vy­sie­la­nie SSID.
- Nep­ra­vi­del­ne meň­me prís­tu­po­vé hes­lá.
- Pou­ží­vaj­me sme­ro­vé an­té­ny (po­kiaľ je to mož­né) a čo naj­niž­ší vy­sie­la­cí vý­kon.
- Umies­tňuj­me prís­tu­po­vé bo­dy tak, aby sig­nál čo naj­me­nej pre­ni­kal mi­mo po­ža­do­va­né­ho pries­to­ru a nev­zni­ka­la tak mož­nosť za­chy­tiť ho.
- Kon­tro­luj­me umies­te­nie a po­čet nain­šta­lo­va­ných prí­poj­ných bo­dov. Kon­tro­luj­me „vzduch“ a ne­do­voľ­me in­šta­lá­ciu súk­rom­ných bo­dov.
- Sle­duj­me pre­vádz­ku na sie­ti a nas­tav­me prís­ne reš­trik­čné pra­vid­lá, kto­ré za­ká­žu prís­tup k niek­to­rým po­čí­ta­čom a dá­tam, ak žia­dosť o ne prí­de z bez­drô­to­vej sie­te.
- Ob­medz­me prís­tup k prís­tu­po­vým bo­dom Wi-Fi pod­ľa ad­re­sy MAC (tie do­ká­že podvr­hnúť len eru­do­va­nej­ší útoč­ník).
- Ak mu­sí­me pre­ná­šať dá­ta, pou­ží­vaj­me šif­ro­va­né spo­je­nie (tak­zva­ný tu­nel) na vy­ššej tran­spor­tnej vrstve.

Na­bu­dú­ce bu­de­me pok­ra­čo­vať.

Ďal­šie čas­ti >>

Zdroj: Infoware 3/2011



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

Li­nux prak­tic­ky ako server úvod
Linux ako server je pomerne zložitá technológia. Jej výhodou je určitá modularita, keď sa nemusí nastaviť celý server naraz, ale postupne. čítať »
 
Syn­chro­ni­zá­cia ča­su v Li­nuxe
V predchádzajúcich dvoch častiach sme si ukázali, že Linux a všeobecne open source softvér sa nenachádza iba v serveroch a počítačových sieťach, ale aj v iných zariadeniach bežnej domácej potreby a v oblasti hobby. čítať »
 
Za­ria­de­nia za­lo­že­né na Li­nuxe
V predchádzajúcej časti sme si spomenuli definície nie - ktorých pojmov z oblasti nášho záujmu, teda Linuxu. Vysvetlili sme si, čo je to Open Source, Public Domain, proprietárny softvér a GNU GPL. Tentoraz ukážeme, ako sa tieto pojmy využívajú v praxi. čítať »
 
Po­jmy z ob­las­ti
Tentoraz na chvíľu trochu odbočíme od bezpečnosti Linuxu a jeho siete. V tejto neštandardnej časti seriálu sa mu budeme venovať len okrajovo. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí II.
V predchádzajúcej časti sme sa začali zaoberať bezpečnosťou bezdrôtových sietí. Poukázali sme na rôzne faktory zneužitia siete, podstatu rizika a vysvetlili sme základné prvky bezpečnosti. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí I.
V predchádzajúcich častiach sme sa venovali bezpečnosti linuxového servera. Riešili sme firewall, bezpečnosť prístupu na internet, zaoberali sme sa demilitarizovanou zónou a podobne. čítať »
 
Údr­žba lo­gov – kon­fi­gu­rá­cia log­ro­ta­te
V predchádzajúcej časti sme sa venovali rotácii logov. Vysvetlili sme princíp ukladania logov, spôsob, ako sa rotujú, a uviedli sme niečo o tom, čo a ako treba nastaviť čítať »
 
Údr­žba lo­gov – ro­tá­cia
V predošlej časti sme sa zaoberali spôsobom logovania informácií na iný alebo vzdialený počítač a ukázali sme, ako riešiť problém s logovaním uzavretých procesov pomocou chroot. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter