Ochrona powietrzna
-
- 16.09.2002
IBM opracował oprogramowanie DWSA (Distributed Wirless Security Auditor), które wykorzystuje PC jako detektory sygnałów. Program ma objętość ok. 100 KB, działa pod kontrolą systemu Linux i przesyła informacje o adresach IP i MAC oraz poziomie sygnału stacji dostępowych. Dane te są analizowane w serwerze zawierającym bazę danych z informacjami o autoryzowanych urządzeniach pracujących w sieci. Na rynku aplikacja ma być dostępna pod koniec roku (także w wersji dla Windows).
Wyższy poziom bezpieczeństwa ma zapewnić implementacja opracowywanej obecnie nowej specyfikacji 802.11i, która definiuje standardowe funkcje identyfikacji i zarządzania bezpieczeństwem w sieciach bezprzewodowych. Spodziewany termin publikacji to dopiero 2003 r. Natomiast ostatnio pojawiła się specyfikacja 802.1x, która zawiera mechanizmy umożliwiające identyfikację stacji i użytkowników (CW nr 25). Urządzenia zgodne z 802.1x pozwalają na implementację metod bazujących na TLS do identyfikacji urządzeń i uniemożliwienie kradzieży informacji przez fałszywe stacje dostępowe. Specyfikacja ta ma zostać włączona do standardu 802.11i.
WEP 40- i 128-bitowy z wykorzystaniem funkcji Windows XP
Po podłączeniu stacji dostępowej 3Com AccessPoint do sieci, zainstalowaniu karty 802.11b i jej sterownika w Windows XP, uruchomienie standardowych zabezpieczeń WEP wymaga konfiguracji urządzeń (AccessPoint są wstępnie konfigurowane do stosowania szyfrowania 40-bitowego WEP). Sprowadza się to do wpisania jednakowego klucza (10 znaków dla WEP 40-bitowego lub 26 dla WEP 128-bitowego) w obu urządzeniach i nawiązania połączenia. Należy pamiętać o zmianie klucza fabrycznego, aby nie był on łatwy do odgadnięcia.
Firmowy DSL i autoryzacja dostępu
Aby skorzystać z dynamicznego klucza szyfracji DSL (Dynamic Security Link) obsługiwanego przez niektóre modele urządzeń bezprzewodowych 3Com (AccessPoint 6000, 8000, karty PC Card XJACK), niezbędna jest instalacja firmowego oprogramowania i sterowników. Nawiązanie łączności z siecią przez urządzenie klienckie wymaga jedynie podania nazwy i hasła użytkownika.
Bardziej skomplikowana jest konfiguracja stacji dostępowej, która oferuje możliwości autoryzacji użytkowników na podstawie nazwy i hasła, adresu MAC karty sieciowej, nazwy i hasła z wykorzystaniem protokołu EAP-MD5 (autoryzacja klienta do serwera w Windows XP), protokołu EAP-TLS itd. Urządzenia 3Com AccessPoint 6000 i 8000 umożliwiają korzystanie z wewnętrznych baz danych z informacjami o użytkownikach (nazwy, hasła lub adresy MAC) lub też zewnętrznych serwerów RADIUS (Remote Authentication Dial-In User Service). Implementacja serwera RADIUS jest niezbędna, gdy w sieci jest wykorzystywanych wiele stacji dostępowych. Informacje wymieniane między stacją dostępową a serwerem służącym do autoryzacji są szyfrowane - podczas konfiguracji systemu wymagane jest wpisanie tego samego ciągu znaków (klucza) w sterownikach obu urządzeń.
Niestandardowe ulepszenia
Choć zasady działania rozwiązań oferowanych przez różnych producentów są podobne, to w praktyce ich współpraca wykraczająca poza standardowe funkcje określone w specyfikacji 802.11b zazwyczaj jest niemożliwa. W efekcie wysoki poziom zabezpieczeń z reguły wymaga stosowania wyposażenia pochodzącego od jednego producenta.
Autorzy
Wiesław Pawłowicz Computerworld
Absolwent wydziału Fizyki UW. Po kilkunastu latach pracy w Instytucie Fizyki Plazmy w Warszawie oraz Instytucie Problemów Jądrowych w Świerku, od 1992 roku pracuje w IDG Poland na różnych stanowiskach, obecnie jako redaktor w Computerworld. Główny obszar zainteresowań dotyczy technologii IT.
Więcej: Wiesław Pawłowicz
