Zabezpieczenia sieci bezprzewodowych
Przez lata trwa wyścig pomiędzy tymi, którzy starają się zabezpieczyć sieć bezprzewodową, a tymi, którzy te zabezpieczenia chcą złapać. Na skutek tego pojawiają się nowe techniki i protokoły zabezpieczeń, które oferują co raz większy poziom ochrony naszych sieci.
Ukrywanie SSID
Prostą, lecz nieskuteczną metodą zabezpieczenia sieci bezprzewodowej jest ukrycie SSID (Service Set Identifier) - tak, aby nie był widoczny przy standardowym sprawdzaniu sieci WiFi w okolicy. Zapewnia to bardzo słabą ochronę. Nie zapobiega najbardziej przypadkowym próbom włamania.
Filtrowanie MAC ID
Jedną z najprostszych technik jest zezwalanie na dostęp tylko ze znanych, zatwierdzonych wcześniej adresów MAC. Większość punktów dostępowych sieci bezprzewodowej zawiera pewien rodzaj filtrowania MAC ID. Jednak napastnik może po prostu wyłuskać adres MAC autoryzowanego klienta i podrobić ten adres.
Statyczne adresy IP
Typowe punkty dostępu bezprzewodowego udostępniają klientom adresy IP za pośrednictwem protokołu DHCP. Wymaganie od klientów ustawiania własnych adresów utrudnia zalogowanie się do sieci przypadkowemu lub niewyszukanemu intruzowi, ale w niewielkim stopniu chroni przed zaawansowanym napastnikiem.
WEP
Standard szyfrowania Wired Equivalent Privacy (WEP) był oryginalnym standardem szyfrowania dla sieci bezprzewodowych, ale od 2004 roku wraz z ratyfikacją WPA2 IEEE ogłosiło go "przestarzałym", i chociaż często jest wspierany, rzadko bywa domyślnym we współczesnych routerach.
WPA v1
Protokoły bezpieczeństwa Wi-Fi Protected Access (WPA i WPA2) zostały później stworzone w celu rozwiązania problemów z WEP. W przypadku zastosowania słabego hasła, takiego jak słowo słownikowe lub krótki ciąg znaków, protokoły WPA i WPA2 mogą zostać złamane. Użycie odpowiednio długiego losowego hasła (np. 14 losowych liter) lub hasła (np. 5 losowo wybranych słów) sprawia, że pre-shared key WPA jest praktycznie nie do złamania. Druga generacja protokołu bezpieczeństwa WPA (WPA2) jest oparta na ostatecznej poprawce IEEE 802.11i do standardu 802.11 i kwalifikuje się do uzyskania zgodności ze standardem FIPS 140-2. Przy wszystkich tych schematach szyfrowania każdy klient w sieci, który zna klucze, może odczytać cały ruch.
Wi-Fi Protected Access (WPA) jest programowym/firmware'owym ulepszeniem WEP. Wszystkie zwykłe urządzenia WLAN, które pracowały z WEP mogą być po prostu uaktualnione i nie trzeba kupować nowego sprzętu. WPA jest okrojoną wersją standardu bezpieczeństwa 802.11i, który został opracowany przez IEEE 802.11 w celu zastąpienia WEP. Algorytm szyfrowania TKIP został opracowany dla WPA, aby zapewnić ulepszenia w stosunku do WEP, które można by wprowadzić jako uaktualnienie oprogramowania w istniejących urządzeniach 802.11. Profil WPA zapewnia również opcjonalną obsługę algorytmu AES-CCMP, który jest preferowanym algorytmem w 802.11i i WPA2. WPA Enterprise zapewnia uwierzytelnianie oparte na protokole RADIUS z wykorzystaniem 802.1X. WPA Personal używa wstępnie udostępnionego klucza PSK (Pre-shared Shared Key) do ustanowienia zabezpieczenia przy użyciu frazy od 8 do 63 znaków. PSK może być również wprowadzony jako 64-znakowy ciąg szesnastkowy. Słabe hasła PSK mogą być łamane przy użyciu ataków słownikowych off-line poprzez przechwytywanie komunikatów w wymianie czterokierunkowej, gdy klient ponownie łączy się po deautentykacji. Pakiety bezprzewodowe takie jak aircrack-ng mogą złamać słabe hasło w mniej niż minutę. Innymi crackerami WEP/WPA są AirSnort i Auditor Security Collection. Mimo to WPA Personal jest bezpieczne, gdy jest używane z "dobrymi" hasłami lub pełnym 64-znakowym kluczem szesnastkowym.Dodatki do WPA v1
Dodatkowo do WPAv1 można dodać TKIP, WIDS i EAP. W ramach standardu 802.11 można również tworzyć sieci VPN . Implementacje VPN obejmują PPTP, L2TP, IPsec i SSH. Jednak ta dodatkowa warstwa bezpieczeństwa może zostać złamana za pomocą narzędzi takich jak Anger, Deceit i Ettercap dla PPTP;oraz ike-scan, IKEProbe, ipsectrace i IKEcrack dla połączeń IPsec.
TKIP
Jest to skrót od Temporal Key Integrity Protocol, a akronim wymawia się jako tee-kip. Jest to część standardu IEEE 802.11i. TKIP implementuje mieszanie kluczy per-pakietowych z systemem ponownego wydawania kluczy, a także zapewnia sprawdzanie integralności wiadomości. Pozwala to uniknąć problemów związanych z WEP.
EAP
Ulepszenie WPA w stosunku do standardu IEEE 802.1X poprawiło już uwierzytelnianie i autoryzację dostępu do bezprzewodowych i przewodowych sieci LAN. Oprócz tego dodatkowe środki, takie jak Extensible Authentication Protocol (EAP), zapewniły jeszcze większe bezpieczeństwo. W tym wypadku przez użycie przez EAP centralnego serwera uwierzytelniającego. Niestety wykryto w rozwiązaniu pewne niedociągnięcia. W ciągu następnych kilku lat braki te zostały usunięte przy użyciu TLS i innych ulepszeń. Ta nowa wersja EAP jest obecnie nazywana Extended EAP i jest dostępna w kilku wersjach; są to: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, MSCHAPv2 oraz EAP-SIM.
LEAP
Jest to skrót od Lightweight Extensible Authentication Protocol. Protokół ten jest oparty na 802.1X i pomaga zminimalizować pierwotne wady bezpieczeństwa poprzez zastosowanie WEP i zaawansowanego systemu zarządzania kluczami. Ta wersja EAP jest bezpieczniejsza niż EAP-MD5. Wykorzystuje ona również uwierzytelnianie za pomocą adresu MAC. LEAP nie jest bezpieczny; THC-LeapCracker może zostać użyty do złamania wersji LEAP firmy Cisco i być wykorzystany przeciwko komputerom podłączonym do punktu dostępowego w formie ataku słownikowego. Anwrap i asleap finally to inne crackery zdolne do złamania LEAP.
PEAP
Jest to skrót od Protected Extensible Authentication Protocol. Protokół ten pozwala na bezpieczny transport danych, haseł i kluczy szyfrujących bez konieczności stosowania serwera certyfikatów. Został on opracowany przez firmy Cisco, Microsoft i RSA Security.
Sieci z ograniczonym dostępem
Rozwiązania obejmują nowszy system uwierzytelniania, IEEE 802.1X, który obiecuje zwiększenie bezpieczeństwa zarówno w sieciach przewodowych, jak i bezprzewodowych. Punkty dostępu bezprzewodowego, które zawierają takie technologie, często mają również wbudowane routery, stając się w ten sposób bramami bezprzewodowymi.
Szyfrowanie end-to-end
Można argumentować, że zarówno metody szyfrowania warstwy 2, jak i warstwy 3 nie są wystarczająco dobre do ochrony cennych danych, takich jak hasła i osobiste wiadomości e-mail. Technologie te dodają szyfrowanie tylko do części ścieżki komunikacyjnej, nadal pozwalając ludziom na szpiegowanie ruchu, jeśli zdobyli w jakiś sposób dostęp do sieci przewodowej. Rozwiązaniem może być szyfrowanie i autoryzacja w warstwie aplikacji, przy użyciu technologii takich jak SSL, SSH, GnuPG, PGP i podobnych.
Wadą metody end-to-end jest to, że może nie objąć całego ruchu. W przypadku szyfrowania na poziomie routera lub VPN, pojedynczy przełącznik szyfruje cały ruch, nawet UDP i wyszukiwania DNS. Natomiast przy szyfrowaniu end-to-end każda usługa, która ma być zabezpieczona musi mieć "włączone" szyfrowanie, a często również każde połączenie musi być "włączone" osobno. W przypadku wysyłania e-maili, każdy odbiorca musi obsługiwać metodę szyfrowania i musi poprawnie wymieniać klucze. W przypadku WWW, nie wszystkie strony internetowe oferują https, a nawet jeśli to robią, przeglądarka wysyła adresy IP w czystym tekście.Standard 802.11i
Najnowszym i najbardziej rygorystycznym zabezpieczeniem wdrażanym obecnie w sieciach WLAN jest standard 802.11i RSN. Ten pełnoprawny standard 802.11i (który wykorzystuje WPAv2) wymaga jednak najnowszego sprzętu (w przeciwieństwie do WPAv1), a więc potencjalnie wymaga zakupu nowego sprzętu. Tym nowym sprzętem może być AES-WRAP (wczesna wersja 802.11i) lub nowszy i lepszy sprzęt AES-CCMP. Należy się upewnić, że potrzebujemy sprzętu WRAP lub CCMP, ponieważ te dwa standardy sprzętowe nie są kompatybilne.
WPA v2
WPA2 to wersja ostatecznej wersji standardu 802.11i pod marką WiFi Alliance. Podstawowym ulepszeniem w stosunku do WPA jest włączenie algorytmu AES-CCMP jako metody obowiązkowej. Zarówno WPA jak i WPA2 obsługują metody uwierzytelniania EAP z wykorzystaniem serwerów RADIUS oraz preshared key (PSK).
Liczba sieci WPA i WPA2 rośnie, podczas gdy liczba sieci WEP maleje, z powodu luk bezpieczeństwa w WEP.
Stwierdzono, że WPA2 posiada co najmniej jedną lukę w zabezpieczeniach, o pseudonimie Hole196. Luka ta wykorzystuje WPA2 Group Temporal Key (GTK), który jest kluczem współdzielonym przez wszystkich użytkowników tego samego BSSID, do przeprowadzania ataków na innych użytkowników tego samego BSSID. Jego nazwa pochodzi od strony 196 specyfikacji IEEE 802.11i, na której omawiana jest podatność. Aby ten exploit mógł zostać wykonany, GTK musi być znane przez atakującego.
WAPI
Jest to skrót od WLAN Authentication and Privacy Infrastructure. Jest to standard bezpieczeństwa sieci bezprzewodowej zdefiniowany przez rząd chiński.
Karty inteligentne, tokeny USB i tokeny programowe
Użycie tokena bezpieczeństwa jest metodą uwierzytelniania polegającą na tym, że tylko uprawnieni użytkownicy posiadają wymagany token. Karty inteligentne to fizyczne tokeny w kartach, które wykorzystują wbudowany układ scalony do uwierzytelniania, wymagające czytnika kart. Tokeny USB to fizyczne tokeny, które łączą się przez port USB w celu uwierzytelnienia użytkownika.
Ekranowanie RF
W niektórych przypadkach praktyczne jest zastosowanie specjalistycznej farby ściennej i folii okiennej do pomieszczenia lub budynku, aby znacząco tłumić sygnały bezprzewodowe, co powstrzymuje sygnały przed propagacją na zewnątrz obiektu. Może to znacznie poprawić bezpieczeństwo sieci bezprzewodowej, ponieważ trudno jest hakerom odbierać sygnały poza kontrolowanym obszarem obiektu, np. z parkingu.