Strona wykorzystuje pliki cookies, jeśli wyrażasz zgodę na używanie cookies, zostaną one zapisane w pamięci twojej przeglądarki. W przypadku nie wyrażenia zgody nie jesteśmy w stanie zagwarantować pełnej funkcjonalności strony!

GTranslate

plzh-TWcsdaenfrdeptskes

Zabezpieczenie sieci WLAN

Utworzono: sobota, 04, czerwiec 2011

 

Zabezpieczamy sieć Wi-Fi

 

Tuż po zainstalowaniu wiele sieci bezprzewodowych nie posiada żadnych mechanizmów obrony przed atakami z zewnątrz. Jeżeli nie chcesz gościć intruzów w swojej sieci, musisz przestrzegać kilku podstawowych reguł.

Nawet jeśli lubisz ryzyko i zwykle dopisuje ci szczęście, bezpieczeństwo w sieci bezprzewodowej z pewnością nie należy do tych dziedzin, w których można zaoszczędzić pracy czy nakładów, a ryzyko opłaca się w jakikolwiek sposób.

 

Uszczelniamy sieć

Jeżeli właściciel sieci WLAN zrezygnuje z jej zabezpieczenia przed nieuprawnionymi użytkownikami, może to mieć dla niego drastyczne konsekwencje - od utraty osobistych danych, przez straty finansowe, aż po odpowiedzialność karną.

zabezpieczenie_wlan
Wariant minimalistyczny ( nie polecamy !!! ) - szyfrowanie WEP zapewnia jedynie minimalny poziom ochrony przed intruzami. Firmy, które niedostatecznie chronią swoje sieci bezprzewodowe, ryzykują, że włamywacze uzyskają dostęp do sieci firmowej i wykradną lub zniszczą cenne dane. Firma ubezpieczeniowa może w takim przypadku odmówić wypłaty odszkodowania, uzasadniając to brakiem dostatecznej staranności. Wszelkie koszty utraty danych poniesie wówczas firma. Z poniesieniem kosztów musi liczyć się również ten, za pośrednictwem którego włamywacze uzyskali dostęp do sieci osoby trzeciej. Poszkodowany może skutecznie dochodzić odszkodowania od właściciela niedostatecznie zabezpieczonej sieci, jeżeli nie uda się wykryć rzeczywistych sprawców (zasada przeniesienia odpowiedzialności).

 

Ustawienia domyślne - zmień natychmiast

oprogramowanie_szpiegujaceOprogramowanie szpiegujące - specjalne programy, znane jakosniffery, tak długo przechwytują ruch danych w sieci, aż zgromadzą wystarczającą ilość danych do złamania szyfru WEP. Jeżeli już zainstalowałeś sieć w jej podstawowej postaci i sprawdziłeś ją pod względem poprawności funkcjonowania, powinieneś natychmiast podjąć wszelkie dostępne działania w celu zabezpieczenia jej przed dostępem intruzów.

Choć wszystkie routery i punkty dostępowe WLAN są wyposażone w różne zabezpieczenia, z niezrozumiałych względów większość producentów dostarcza je w stanie, który urąga wszelkim regułom bezpieczeństwa. Być może mogliby oni argumentować, że ułatwia to instalację, nie da się jednak zaprzeczyć, że jest to po prostu niebezpieczne.

Jeżeli zatem nie chcesz, by ktokolwiek w okolicy, wyposażony w notebook z kartą WLAN, mógł uzyskać dostęp do twojej sieci i buszować do woli w twoich zasobach, weź sobie do serca poniższe wskazówki.

 

 

To potrafią wszystkie urządzenia - szyfrowanie WEP


Absolutnie szczelne - przynajmniej na razie, szyfrowanie WPA nie daje hakerom żadnych szans na złamanie kodu. Niestety, WPA obsługują tylko najnowsze urządzenia. WEP to skrót od "Wired Equivalent Privacy", czyli w swobodnym tłumaczeniu "prywatność, jak w sieciach kablowych". Szyfrowanie WEP zostało zatem stworzone z myślą o zapewnieniu takiego poziomu ochrony przed intruzami, jaki zapewnia kabel ethernetowy w sieciach kablowych. Cała transmisja między stacją bazową a zalogowanymi klientami jest szyfrowana z użyciem hasła, które użytkownik musi wprowadzić zarówno w nadajniku, jak i w odbiorniku. Dopiero wówczas dane mogą być poprawnie odszyfrowane. Ma to uniemożliwić przechwytywanie danych przez osoby nieuprawnione poprzez zwykłe podsłuchiwanie ruchu w sieci. Ponieważ szyfrowanie WEP jest częścią standardu IEEE 802.11, wszelkie dostępne na rynku zgodne ze standardem urządzenia muszą obsługiwać połączenia szyfrowane metodą WEP.

Dwa warianty

Definicja standardu IDEE 802.11 przewiduje dwa warianty WEP: WEP64 z kluczem o długości 64 bitów oraz silniejszą wersję WEP128 z kluczem o długości 128 bitów. Dla wariantu 128-bitowego obliczono, że złamanie szyfru metodą brutalnej siły w tempie 3500 kluczy na sekundę trwałoby do 18 x 1019 lat. Brzmi to niesłychanie uspokajająco i bardzo wiarygodnie. Niestety, to tylko teoria.

Łatwe do przechytrzenia

dostepne_sieci
Otwarta sieć WLAN - najwidoczniej ktoś zapomniał zmienić SSID. W rzeczywistości szyfrowanie WEP okazało się bardzo łatwe do przechytrzenia. Technicy z laboratoriów firmy AT&T dowiedli już w sierpniu 2001 r., że klucz WEP można stosunkowo łatwo złamać w drodze analizy przesyłanych pakietów danych (www.cs.rice.edu/~astubble/wep). W Internecie można znaleźć narzędzia, które umożliwiają złamanie szyfru WEP w ciągu ok. 20 minut.

Z tego powodu niektórzy producenci zaczęli stosować w swoich urządzeniach dodatkowe, własne warianty WEP, z reguły bazujące na kluczu o długości 256 bitów, który jest odpowiednio trudniejszy do złamania. Niemniej, są to systemy specyficzne dla danego producenta, co oznacza, że takie urządzenia i karty nie współpracują z urządzeniami innych producentów. Z drugiej strony, w określonych, starannie przemyślanych przypadkach może to być element strategii ochrony przed intruzami.

 

 

Jeżeli już WEP, to z kluczem 128-bitowym

Jeżeli możesz zastosować tylko szyfrowanie WEP, wybierz wariant z kluczem 128-bitowym. W ten sposób stosujesz rozwiązanie będące kompromisem między bezpieczeństwem a kompatybilnością. Jeżeli zależy ci na bardziej wydajnej ochronie, sięgnij po bardziej skuteczne metody, np. WPA.

Jeżeli posiadasz urządzenia w standardzie 802.11b, który obecnie jest najbardziej rozpowszechniony, i tak nie masz innego wyjścia, gdyż ten sprzęt obsługuje tylko WEP. Starsze podzespoły, np. karty PC do notebooków, mogą w niektórych przypadkach obsługiwać zaledwie WEP64.

Tego typu przestarzałe karty powinieneś dla własnego bezpieczeństwa wymienić na nowsze modele z wersją WEP128. W większości stosunkowo nowych urządzeń jest możliwość wyboru między WEP64 a WEP128.

 

W stronę większego bezpieczeństwa - szyfrowanie WPA

wpaNadaj własną nazwę - koniecznie nadaj swojej sieci nazwę inną, niż domyślnie ustawiona przez producenta. Wobec słabości szyfrowania WEP odpowiedzialny za standard IEEE Institute of Electrical & Electronics Engineers postanowił opracować nowy standard o znacznie silniejszych mechanizmach zabezpieczeń ( www.ieee.org ). Nowa norma, nazwana 802.11i, ma być ratyfikowana w ciągu tego roku.

Z tego względu stowarzyszenie producentów urządzeń bezprzewodowych opracowało WPA, Wi-Fi Protected Access. Ten przejściowy standard charakteryzuje się wieloma ulepszeniami, przede wszystkim w kwestii stosowania kluczy. Wychodząc od określonego klucza początkowego, oprogramowanie zmienia sposób szyfrowania każdego wysyłanego pakietu danych (Temporal Key Integrity Protocol - TKIP). Takie postępowanie znakomicie utrudnia złamanie szyfru przez proste przechwytywanie danych.
Postaraj się o uaktualnienie oprogramowania firmware

Jedynie najnowsze urządzenia WLAN już w chwili dostawy obsługują WPA. Jeżeli twój sprzęt ma już kilkanaście miesięcy, postaraj się o uaktualnienie wbudowanego oprogramowania i zmodernizowane oprogramowanie konfiguracyjne. Użytkownikom Windows XP radzimy również zainstalowanie poprawki Rollup Package dla połączeń bezprzewodowych, która eliminuje niektóre problemy i błędy pierwszej implementacji WPA (http://support.microsoft.com/kb/826942).

Punkty dostępowe z obsługą WPA oferują ponadto tzw. Mixed Mode, który umożliwia pracę w sieci zarówno klientów WPA, jak i WEP. Pamiętaj jednak, że w takim przypadku poziom bezpieczeństwa całej sieci spada do poziomu WEP. Taki tryb pracy należy traktować jako przejściowy i jak najszybciej doprowadzić wszystkie urządzenia do poziomu WPA.

 

Własna nazwa sieci chroni - SSID

Wszystko ma swoją nazwę, a więc i sieć WLAN. Aby nawiązać kontakt z siecią WLAN, musisz znać SSID (Service Set Identifier). Kto nie zna SSID, nie włączy się do sieci. Niestety, niemal wszystkie punkty dostępowe WLAN są ustawione fabrycznie tak, że akceptują jako nazwę sieci "any" (dowolna) albo też przeciwnie - wysyłają tę nazwę swobodnie w świat. To tak, jakby stacja bazowa wysyłała do każdego notebooka, który przypadkiem znajdzie się w pobliżu, następujący komunikat: "Hej, tu jest supersieć WLAN. Zajrzyj do nas. Nazywam się "DEFAULT." Każdy producent ma nieco odmienny sposób postępowania. Niektórzy stosują "any", inni wysyłają nazwę sieci do otoczenia, niektórzy robią jedno i drugie. Bywają też jeszcze inne kombinacje.

 

Wyłącz rozsyłanie

Powinieneś zatem wykonać jak najszybciej dwie czynności. Aby przynajmniej utrudnić potencjalnym intruzom wtargnięcie do sieci, wyłącz raz na zawsze funkcję rozsyłania nazwy sieci. W większości punktów dostępowych jest to bardzo proste; wystarczy zaznaczyć odpowiednią opcję w konfiguracji. Najczęściej nazywa się ona "Sieć zamknięta" lub podobnie.

Korzyść jest taka, że odtąd uzyskanie dostępu do sieci wymaga znajomości jej dokładnej nazwy. To znacznie utrudni życie osobnikom zwanym War Driver, czyli hakerom wyposażonym w notebooki, przemierzającym okolicę w poszukiwaniu otwartych sieci WLAN.

 

Zmień nazwę sieci

sila_sygnaluSkuteczne - ustaw siłę sygnału tak, by obejmował mieszkanie i ogród, ale nie sięgał już ulicy. W drugim kroku powinieneś bezwzględnie zmienić nazwę sieci. Wielu producentów punktów dostępowych ustawia w swoich urządzeniach zawsze tę samą, łatwą do zapamiętania nazwę.

W produktach amerykańskich i azjatyckich można na przykład bardzo często znaleźć nazwę "Default" (domyślna). Czasami stosowana bywa też nazwa producenta urządzenia; przykładem może być punkt dostępowy firmy Lancom. Najbezpieczniej jest usunąć fabryczny wpis już w trakcie konfiguracji i wybrać taki SSID, który nie będzie łatwy do odgadnięcia.

 

Skuteczna ochrona - adres MAC

Bardzo dobrą metodą przeciwdziałania intruzom w sieci jest kontrola dostępu za pomocą adresów MAC (Machine Access Code). Jest to numer seryjny, umożliwiający identyfikację każdej karty sieciowej, każdego punktu dostępowego i każdego komputera z kartą Ethernet lub WLAN na całym świecie.

Większość punktów dostępowych posiada opcję udostępniania sieci wyłącznie znanym, wprowadzonym wcześniej przez administratora, adresom MAC.

 

Totalna ochrona nie istnieje

mac-filter
Dłubanina - kontrola dostępu z wykorzystaniem adresów MAC jestpracochłonna i teoretycznie bardzo skuteczna, jednak profesjonalny włamywacz obejdzie ją bez trudu. Niewielką wadą tej metody jest to, że jest ona tym bardziej pracochłonna, im większa jest sieć. Każdy adres MAC składa się z dwunastopozycyjnego kodu szesnastkowego.

Nie to jednak stanowi zasadniczy problem. Znacznie gorzej przedstawia się fakt, że od pewnego czasu i ta metoda nie daje stuprocentowej ochrony. Dostępne jest oprogramowanie do kart PC WLAN, które umożliwia modyfikację fabrycznego kodu MAC. Jeżeli więc haker ustali, jakie adresy MAC dopuszczone są do komunikacji w sieci, może bez trudu podszyć się pod jeden z nich.

 

 Proste - ogranicz zasięg

Bardzo pociągająca jest kolejna metoda zwiększenia bezpieczeństwa - ogranicz zasięg swojej sieci bezprzewodowej. To proste - nie można przechwycić czegoś, co nie wydostaje się na zewnątrz. Wiele punktów dostępowych posiada opcję regulacji mocy nadajnika lub kąta promieniowania. Dla przykładu, w urządzeniach firmy Lancom można podać wartość w decybelach, o jaką ma być stłumiony sygnał.

 

Wypróbuj zasięg

Zasięg sieci WLAN i skutki stłumienia o określoną liczbę decybeli musisz wypróbować eksperymentalnie. W tym celu weź notebooka, wyjdź przed dom, obejdź go dookoła i sprawdź w różnych miejscach siłę sygnału, którą pokazuje mały symbol na pasku zadań. Upewnij się, że notebook jest wyposażony w kartę o dużej czułości. Najlepiej zastosuj kartę z zewnętrzną, a nie zintegrowaną anteną. Metodą kolejnych prób uzyskaj stopniowo taką siłę sygnału, przy której możliwa jest dobra łączność wewnątrz domu, ale jednocześnie sygnał w jak najmniejszym stopniu przedostaje się na zewnątrz.

Tego rodzaju testy są konieczne nawet wówczas, gdy w oprogramowaniu konfiguracyjnym można ustalić maksymalny zasięg w metrach (w przypadku urządzeń Lancom w kilometrach). Tę wartość można traktować jedynie w kategoriach wartości przybliżonych - faktyczny zasięg w dużym stopniu zależy od przeszkód w rodzaju ścian czy szaf.

Niestety, ta metoda ma jedną wadę - nie da się uzyskać takiej sytuacji, że sąsiedzi mieszkający poniżej i powyżej w budynku wielorodzinnym znajdą się poza zasięgiem. Aby to uzyskać, musiałbyś tak silnie stłumić sygnał, że komunikacja w obrębie mieszkania stałaby się niemożliwa. Dlatego na koniec można zalecić jedyne rozsądne rozwiązanie - zastosuj w rozsądnych i możliwych granicach wszystkie z opisanych tu zabezpieczeń.

 

Właściwy wybór haseł

Nawet najlepsze szyfrowanie nie zda się na wiele, jeżeli nie wybierzesz właściwego hasła. Poniżej kilka wskazówek.
  1. Hasło powinno być jak najdłuższe. Najlepsza jest kombinacja z liter i cyfr, a także innych rzadko używanych znaków.
  2. Unikaj haseł łatwych do odgadnięcia, szczególnie twojego imienia, daty urodzenia, numeru rejestracyjnego samochodu, danych bliskich ci osób.
  3. Regularnie zmieniaj hasło, nie rzadziej, niż co trzy miesiące.
  4. Nikomu nie zdradzaj swoich haseł.
  5. Jeżeli nabierzesz podejrzeń, że ktoś włamał się do twojej sieci, natychmiast zmień hasło.

Zródło: http://www.pcworld.pl