Bezpieczeństwo bez przewodów
- Zbigniew Bednarek,
- 05.02.2007
Protokół WPA definiuje dwa tryby pracy:
- Personal - przeznaczony dla użytkowników domowych oraz małych firm, którym zależy na podniesieniu poziomu bezpieczeństwa bez ponoszenia dodatkowych kosztów na rozbudowę infrastruktury sieciowej (nie wymaga dodatkowych urządzeń zewnętrznych), często spotykany pod nazwą WPA-PSK (WPA Pre-Shared Key);
- Enterprise - przeznaczony dla użytkowników biznesowych, którym zależy na wysokim poziomie bezpieczeństwa i w związku z tym są w stanie ponieść dodatkowe koszty, tryb ten wymaga zewnętrznego serwera zdalnego uwierzytelniania użytkowników RADIUS (Remote Authentication Dial In User Service), często spotykany pod nazwą WPA-EAP (WPA Extensible Authentication Protocol).
- 802.1x - protokół uwierzytelniania; zaimplementowany w trybie WPA Enterprise;
- EAP - rozszerzony protokół uwierzytelniania,zaimplementowany w trybie WPA Enterprise;
- TKIP - protokół zarządzania kluczami;
- MIC - protokół kontroli integralności danych.
Konfiguracja protokołu WPA w trybie Personal (WPA-PSK) polega na zdefiniowaniu współdzielonego klucza, składającego się z 8-63 znaków ASCII. Nie trzeba chyba nikogo przekonywać, że im dłuższy klucz, tym lepiej - zabezpieczenie staje się wówczas bardziej odporne na ataki siłowe.
Tryb Enterprise przeznaczony jest dla klientów biznesowych, którzy dla zapewnienia bezpieczeństwa infrastruktury sieciowej oraz danych są w stanie ponieść dodatkowe koszty w postaci serwera RADIUS. Serwer ten obsługuje zaawansowane protokoły uwierzytelniania 802.1x oraz EAP, a także zapewnia zarządzanie kluczami i kontrolę integralności danych.
Protokół WPA zapewnia znacznie wyższy poziom bezpieczeństwa niż WEP, jednak wciąż korzysta z prostego algorytmu RC4. Sytuacja ta ulegała zmianie wraz z opracowaniem standardu 802.11i (WPA2), który opierając się na rozwiązaniach zdefiniowanych w WPA, oferuje znacznie wyższy poziom bezpieczeństwa dzięki implementacji algorytmu AES (Advanced Encrytion Standard) oraz protokołu licznikowego CCMP (Counter mode Cipher block chaining - Message authentication code Protocol), który odpowiada za dynamiczne zarządzanie kluczami szyfrującymi oraz kontrolę integralności danych. Od strony konfiguracyjnej nie ma żadnej różnicy między protokołem WPA2 a WPA. Oznacza to konieczność zdefiniowania współdzielonego klucza w trybie PSK lub podanie adresu, portu oraz hasła dostępowego do serwera RADIUS w trybie EAP.
Należy pamiętać, że specyfikacja WPA2 opublikowana została w 2004 r., czyli rok po ratyfikacji standardu 802.11g, z tego względu nie wszystkie urządzenia zgodne z tym standardem oferują obsługę tego protokołu.
Nie tylko protokoły
Protokoły bezpieczeństwa sieci bezprzewodowej obsługują proces uwierzytelniania i szyfrowania danych, jednak należy pamiętać, że obok nich istnieje jeszcze kilka opcji mających wpływ na bezpieczeństwo sieci, zwłaszcza jej infrastruktury.
Podstawowym hasłem, które należy bezwzględnie zmienić w trakcie pierwszego uruchamiania punktu dostępowego, jest hasło administratora. Pozwoli to na uniknięcie przykrej w konsekwencjach sytuacji, gdy intruz drogą radiową przejmuje kontrolę nad urządzeniem, zmienia domyślne hasło administratora i pozbawia nas dostępu do sprzętu. W takiej sytuacji jedynym ratunkiem jest twardy reset urządzenia, co w przypadku zastosowań domowych nie generuje strat, jednak nie trudno sobie wyobrazić ich koszt w przypadku zastosowań biznesowych.
Dotychczas przedstawione mechanizmy bezpieczeństwa wymagają zdefiniowania hasła (klucza). Sztuka tworzenia haseł nie polega na ich wymyślaniu, lecz na opracowaniu krótkiego algorytmu, na podstawie którego można szybko wygenerować hasło. Doskonałym przykładem może być poniższy algorytm składający się z 3 kroków.
Krok 1
Zapisujemy fragment ulubionej piosenki bez spacji i polskich znaków: Mysliszmozezewiecejcosznaczysz
Krok 2
Kasujemy znaki parzyste: Msizoeeicjozazs
Krok 3
Podmieniamy litery na znaki specjalne znajdujące się na odpowiednich klawiszach (I-1-!, Z-2-@, E-3-#, A-4-$, S-5-%, G-6-^, L-7-&, B-8-*) i otrzymujemy gotowe hasło odporne na ataki słownikowe: M%!@zo##icjo@$@%
Doskonałym uzupełnieniem zabezpieczeń sieci Wi-Fi są wirtualne sieci prywatne VPN (Virtual Personal Network), wykorzystujące własne protokoły szyfrowania danych, np. IPsec lub PPTP (Point to Point Tunneling Protocol).
Coraz lepsze zabezpieczenia stosowane w sieciach Wi-Fi sprawiają, że sfrustrowani intruzi niebędący w stanie ich pokonać w akcie rozpaczy zagłuszają całe pasmo częstotliwości radiowych, co w pewnych sytuacjach może mieć poważne konsekwencje. Z tego powodu coraz częściej stosowane są ekrany elektromagnetyczne obszarów objętych zasięgiem sieci. Wykorzystuje się w tym celu farby o właściwościach ekranujących, które z jednej strony nie przepuszczają zewnętrznego pola elektromagnetycznego do obszaru pracy sieci bezprzewodowej, a z drugiej strony uniemożliwiają podsłuchiwanie sieci Wi-Fi.