Bezdrátové zabezpečení - Wireless security

Příklad bezdrátového směrovače , který může implementovat funkce zabezpečení bezdrátové sítě

Zabezpečení bezdrátové sítě je prevence neoprávněného přístupu nebo poškození počítačů nebo dat pomocí bezdrátových sítí, mezi které patří sítě Wi-Fi . Termín může také odkazovat na ochranu samotné bezdrátové sítě před protivníky, kteří se snaží poškodit důvěrnost, integritu nebo dostupnost sítě. Nejběžnějším typem je zabezpečení Wi-Fi , které zahrnuje WEP ( Wired Equivalent Privacy ) a Chráněný přístup Wi-Fi (WPA). WEP je starý standard IEEE 802.11 z roku 1997. Je to notoricky slabý bezpečnostní standard: heslo, které používá, lze často prolomit během několika minut pomocí základního přenosného počítače a široce dostupných softwarových nástrojů. WEP byl v roce 2003 nahrazen WPA nebo Wi-Fi Protected Access. WPA byla rychlá alternativa ke zlepšení zabezpečení oproti WEP. Současný standard je WPA2; některý hardware nemůže podporovat WPA2 bez upgradu nebo výměny firmwaru. WPA2 používá šifrovací zařízení, které šifruje síť 256bitovým klíčem; delší délka klíče zvyšuje zabezpečení oproti WEP. Podniky často vynucují zabezpečení pomocí systému založeného na certifikátech k autentizaci připojeného zařízení podle standardu 802.11X.

Mnoho přenosných počítačů má předinstalované bezdrátové karty . Možnost vstoupit do sítě na mobilu má velké výhody. Bezdrátová síť je však náchylná k některým problémům se zabezpečením. Hackeři zjistili, že se do bezdrátových sítí dá snadno proniknout, a dokonce pomocí bezdrátové technologie proniknout do kabelových sítí. V důsledku toho je velmi důležité, aby podniky definovaly efektivní zásady zabezpečení bezdrátové sítě, které chrání před neoprávněným přístupem k důležitým zdrojům. K prosazování zásad zabezpečení bezdrátového připojení se běžně používají systémy WIPS ( Wireless Intrusion Prevention System ) nebo WIDS ( Wireless Intrusion Detection Systems ).

Panel nastavení zabezpečení pro router DD-WRT

Rizika pro uživatele bezdrátových technologií se zvyšují, protože je služba stále oblíbenější. Když byla bezdrátová technologie poprvé představena, existovalo relativně málo nebezpečí. Hackeři ještě neměli čas se nové technologii přizpůsobit a bezdrátové sítě se na pracovišti běžně nevyskytovaly. Se současnými bezdrátovými protokoly a šifrovacími metodami a s nedbalostí a ignorancí, která existuje na úrovni uživatelů a firemních IT, je však spojeno mnoho bezpečnostních rizik . Hackovací metody se díky bezdrátovému přístupu staly mnohem sofistikovanějšími a inovativnějšími. Hackování se také stalo mnohem snazším a dostupnějším díky snadno použitelným nástrojům založeným na systému Windows nebo Linux , které jsou bezplatně dostupné na webu.

Některé organizace, které nemají nainstalované žádné bezdrátové přístupové body, nemají pocit, že by se musely zabývat problémy se zabezpečením bezdrátové sítě. In-Stat MDR a META Group odhadují, že 95% všech podnikových přenosných počítačů, které měly být zakoupeny v roce 2005, bylo vybaveno bezdrátovými kartami. Problémy mohou nastat v údajně bezdrátové organizaci, když je bezdrátový notebook připojen k podnikové síti. Hacker mohl sedět na parkovišti a sbírat z něj informace prostřednictvím notebooků a/nebo jiných zařízení, nebo dokonce vniknout do tohoto notebooku vybaveného bezdrátovou kartou a získat přístup ke kabelové síti.

Pozadí

Kdokoli v dosahu otevřené, nešifrované bezdrátové sítě v geografické síti může „ čichat “ nebo zaznamenávat a zaznamenávat provoz , získat neoprávněný přístup k prostředkům interní sítě i k internetu a poté použít informace a prostředky k provádění rušivých nebo protiprávní jednání. Taková porušení zabezpečení se stala důležitým problémem pro podnikové i domácí sítě.

Pokud není zabezpečení routeru aktivováno nebo jej majitel pro pohodlí deaktivuje, vytvoří bezplatný hotspot . Protože většina notebooků 21. století má integrovanou bezdrátovou síť (viz technologie Intel „ Centrino “), nepotřebují adaptér od jiného výrobce, jako je karta PCMCIA nebo USB dongle . Integrovaná bezdrátová síť může být ve výchozím nastavení povolena, aniž by si to vlastník uvědomoval, a tak vysílala přístupnost notebooku k jakémukoli počítači v okolí.

Moderní operační systémy, jako jsou Linux , macOS nebo Microsoft Windows, umožňují poměrně snadno nastavit počítač jako „základní stanici“ bezdrátové sítě LAN pomocí sdílení připojení k internetu , což umožňuje všem počítačům v domácnosti přístup na internet prostřednictvím „základny“. „PC. Nedostatek znalostí mezi uživateli o bezpečnostních problémech spojených s nastavením takových systémů však často může umožnit přístup k připojení ostatním v okolí. Takového „piggybackingu“ je obvykle dosaženo bez vědomí operátora bezdrátové sítě; může být dokonce bez vědomí narušujícího uživatele, pokud jeho počítač automaticky vybere nedalekou nezabezpečenou bezdrátovou síť, která má být použita jako přístupový bod.

Situace ohrožení

Hlavní článek: Zabezpečení počítače

Zabezpečení bezdrátové sítě je pouze aspektem zabezpečení počítače; organizace však mohou být obzvláště citlivé na narušení bezpečnosti způsobené nepoctivými přístupovými body .

Pokud zaměstnanec (důvěryhodná entita) připojí bezdrátový router a zapojí jej do nezabezpečeného switchportu, může být celá síť vystavena komukoli v dosahu signálů. Podobně, pokud zaměstnanec přidá bezdrátové rozhraní k počítači v síti pomocí otevřeného portu USB, může dojít k narušení zabezpečení sítě, které by umožnilo přístup k důvěrným materiálům. Existují však účinná protiopatření (jako je deaktivace otevřených switchportů během konfigurace přepínačů a konfigurace VLAN k omezení přístupu k síti), která jsou k dispozici pro ochranu sítě i informací, které obsahuje, ale tato protiopatření musí být aplikována jednotně na všechna síťová zařízení.

Hrozby a zranitelnosti v průmyslovém kontextu (M2M)

Díky své dostupnosti a nízkým nákladům se používání bezdrátových komunikačních technologií zvyšuje v doménách mimo původně zamýšlené oblasti použití, např. Komunikace M2M v průmyslových aplikacích. Takové průmyslové aplikace mají často specifické požadavky na zabezpečení. Proto je důležité porozumět charakteristikám těchto aplikací a vyhodnotit zranitelnosti, které v této souvislosti představují nejvyšší riziko. K dispozici je vyhodnocení těchto zranitelností a výsledné katalogy zranitelností v průmyslovém kontextu s ohledem na WLAN, NFC a ZigBee.

Výhoda mobility

Bezdrátové sítě jsou velmi běžné, a to jak pro organizace, tak pro jednotlivce. Mnoho přenosných počítačů má předinstalované bezdrátové karty . Možnost vstoupit do sítě na mobilu má velké výhody. Bezdrátová síť je však náchylná k některým problémům se zabezpečením. Hackeři zjistili, že se do bezdrátových sítí dá snadno proniknout, a dokonce pomocí bezdrátové technologie proniknout do kabelových sítí. V důsledku toho je velmi důležité, aby podniky definovaly efektivní zásady zabezpečení bezdrátové sítě, které chrání před neoprávněným přístupem k důležitým zdrojům. K prosazování zásad zabezpečení bezdrátového připojení se běžně používají systémy WIPS ( Wireless Intrusion Prevention System ) nebo WIDS ( Wireless Intrusion Detection Systems ).

Riziko poškození rozhraní a spojení

Když byla bezdrátová technologie poprvé představena, existovalo relativně málo nebezpečí, protože úsilí o udržení komunikace bylo vysoké a úsilí o vniknutí je vždy vyšší. Rozmanitost rizik pro uživatele bezdrátových technologií vzrostla s tím, jak se služba stala populárnější a technologie stále dostupnější. Se současnými bezdrátovými protokoly a šifrovacími metodami je dnes spojeno velké množství bezpečnostních rizik , protože na úrovni uživatelů a firemních IT existuje neopatrnost a ignorance. Hackovací metody se staly mnohem sofistikovanějšími a inovativnějšími s bezdrátovým připojením.

Režimy neoprávněného přístupu

Režimy neoprávněného přístupu k odkazům, funkcím a datům jsou stejně variabilní, jak příslušné entity využívají programový kód. Neexistuje úplný model takové hrozby. Prevence do určité míry závisí na známých režimech a metodách útoku a příslušných metodách potlačení použitých metod. Každý nový režim provozu však vytvoří nové možnosti vyhrožování. Prevence proto vyžaduje neustálou snahu o zlepšení. Popsané režimy útoku jsou jen momentkou typických metod a scénářů, kde se uplatnit.

Náhodná asociace

Porušení perimetru zabezpečení podnikové sítě může pocházet z řady různých metod a záměrů. Jedna z těchto metod je označována jako „náhodná asociace“. Když uživatel zapne počítač a připojí se k bezdrátovému přístupovému bodu z překrývající se sítě sousední společnosti, nemusí uživatel ani vědět, že k tomu došlo. Je to však narušení bezpečnosti v tom, že jsou odhaleny chráněné informace o společnosti a nyní by mohlo existovat propojení mezi jednou společností a druhou. To platí zejména v případě, že je notebook připojen také ke kabelové síti.

Náhodné přidružení je případ chyby zabezpečení bezdrátové sítě, který se nazývá „nesprávné přiřazení“. Nesprávné přiřazení může být náhodné, záměrné (například s cílem obejít firemní bránu firewall) nebo může být důsledkem záměrných pokusů bezdrátových klientů nalákat je na připojení k přístupovým bodům útočníka.

Škodlivá asociace

„Škodlivé asociace“ jsou případy, kdy mohou útočníci aktivně vytvářet bezdrátová zařízení pro připojení k firemní síti prostřednictvím svého notebooku místo přístupového bodu společnosti (AP). Tyto typy notebooků jsou známé jako „soft AP“ a jsou vytvořeny, když počítačový zločinec spustí nějaký software , díky němuž jeho bezdrátová síťová karta vypadá jako legitimní přístupový bod. Jakmile zloděj získá přístup, může ukrást hesla, zahájit útoky na kabelovou síť nebo zasadit trojské koně . Vzhledem k tomu, že bezdrátové sítě fungují na úrovni Layer 2, ochrany Layer 3 jako autentizace sítě a virtuální privátní sítě (VPN) nepředstavují žádnou bariéru. Bezdrátové ověřování 802.1X pomáhá s určitou ochranou, ale stále je náchylné k hackování. Myšlenkou tohoto typu útoku nemusí být proniknutí do VPN nebo jiná bezpečnostní opatření. Zločinec se s největší pravděpodobností pokouší převzít klienta na úrovni Layer 2.

Sítě ad hoc

Sítě ad hoc mohou představovat bezpečnostní hrozbu. Sítě ad hoc jsou definovány jako sítě [peer to peer] mezi bezdrátovými počítači, které mezi nimi nemají přístupový bod. Zatímco tyto typy sítí mají obvykle malou ochranu, k zajištění zabezpečení lze použít šifrovací metody.

Bezpečnostní díra poskytovaná sítí Ad hoc není samotná síť Ad hoc, ale most, který poskytuje do jiných sítí, obvykle v podnikovém prostředí, a nešťastné výchozí nastavení ve většině verzí systému Microsoft Windows na zapnutí této funkce, pokud není výslovně zakázána . Uživatel tedy nemusí ani vědět, že na svém počítači provozuje nezabezpečenou síť ad hoc. Pokud současně používají také kabelovou nebo bezdrátovou síť infrastruktury, poskytují most k zabezpečené organizační síti prostřednictvím nezabezpečeného připojení ad hoc. Překlenutí je ve dvou formách. Přímý most, který vyžaduje, aby uživatel skutečně nakonfiguroval most mezi dvěma připojeními, a je tedy nepravděpodobné, že bude inicializován, pokud to není výslovně požadováno, a nepřímý most, který je sdílenými prostředky na uživatelském počítači. Nepřímý most může vystavit soukromá data, která jsou sdílena z počítače uživatele, připojení LAN, jako jsou sdílené složky nebo soukromé síťové úložiště, bez rozdílu mezi ověřenými nebo soukromými připojeními a neověřenými sítěmi Ad-Hoc. To nepředstavuje žádné hrozby, které dosud nejsou známé otevřeným/veřejným nebo nezabezpečeným přístupovým bodům wifi, ale pravidla brány firewall mohou být obcházena v případě špatně nakonfigurovaných operačních systémů nebo místního nastavení.

Netradiční sítě

Netradiční sítě, jako například osobní síťová zařízení Bluetooth, nejsou chráněna před hackováním a je třeba je považovat za bezpečnostní riziko. Zabezpečeny by měly být i čtečky čárových kódů , kapesní PDA a bezdrátové tiskárny a kopírky. Tyto netradiční sítě mohou pracovníci IT, kteří se úzce zaměřili na notebooky a přístupové body, snadno přehlédnout.

Krádež identity (falšování MAC)

Ke krádeži identity (nebo falšování MAC adres ) dochází, když je hacker schopen naslouchat síťovému provozu a identifikovat MAC adresu počítače se síťovými oprávněními . Většina bezdrátových systémů umožňuje určitý druh filtrování MAC, které umožňuje přístup a využívání sítě pouze autorizovaným počítačům se specifickými ID MAC. Existují však programy, které mají schopnost „ čichat “ k síti. Zkombinujte tyto programy s jiným softwarem, který umožňuje počítači předstírat, že má jakoukoli MAC adresu, po které hacker touží, a hacker se s touto překážkou snadno dostane.

Filtrování MAC je účinné pouze pro malé obytné sítě (SOHO), protože poskytuje ochranu pouze tehdy, když je bezdrátové zařízení „mimo vysílání“. Jakékoli zařízení 802.11 „ve vzduchu“ volně přenáší svou nezašifrovanou adresu MAC do svých záhlaví 802.11 a k detekci nevyžaduje žádné speciální vybavení ani software. Kdokoli s přijímačem 802.11 (notebook a bezdrátový adaptér) a freewarovým bezdrátovým analyzátorem paketů může získat MAC adresu jakéhokoli vysílajícího 802.11 v dosahu. V organizačním prostředí, kde je většina bezdrátových zařízení „ve vzduchu“ po celou aktivní pracovní směnu, poskytuje filtrování MAC pouze falešný pocit bezpečí, protože brání pouze „náhodnému“ nebo nechtěnému připojení k organizační infrastruktuře a nijak nebrání tomu, aby cílený útok.

Útoky man-in-the-middle

Útočník typu man-in-the-middle láká počítače k ​​přihlášení k počítači, který je nastaven jako soft AP ( přístupový bod ). Jakmile je to hotovo, hacker se připojí ke skutečnému přístupovému bodu prostřednictvím jiné bezdrátové karty, která nabízí stálý tok provozu přes transparentní hackovací počítač do skutečné sítě. Hacker pak může očichat provoz. Jeden typ útoku typu man-in-the-middle spoléhá na bezpečnostní chyby v protokolech challenge a handshake k provedení „de-authentication attack“. Tento útok donutí počítače připojené k AP přerušit připojení a znovu se spojit s hackerovým softwarovým přístupovým bodem (odpojí uživatele od modemu, aby se musel znovu připojit pomocí hesla, které lze extrahovat ze záznamu události). Útoky typu man-in-the-middle jsou vylepšeny softwarem, jako jsou LANjack a AirJack, které automatizují více kroků procesu, což znamená, že kdysi vyžadovaly určité dovednosti, nyní mohou provádět skriptové děti . Hotspoty jsou obzvláště citlivé na jakýkoli útok, protože v těchto sítích je jen malé nebo žádné zabezpečení.

Odmítnutí služby

K útoku Denial-of-Service (DoS) dochází, když útočník nepřetržitě bombarduje cílený AP ( přístupový bod ) nebo síť s falešnými požadavky, předčasnými zprávami o úspěšném připojení, chybovými zprávami a/nebo jinými příkazy. Ty způsobují, že se legitimní uživatelé nemohou dostat do sítě a mohou dokonce způsobit zhroucení sítě. Tyto útoky se spoléhají na zneužívání protokolů, jako je EAP ( Extensible Authentication Protocol ).

Útok DoS sám o sobě málo odhaluje organizační data škodlivému útočníkovi, protože přerušení sítě brání toku dat a ve skutečnosti nepřímo chrání data tím, že brání jejich přenosu. Obvyklým důvodem pro provedení DoS útoku je pozorování obnovy bezdrátové sítě, během níž jsou všechna počáteční kódy handshake znovu přenášena všemi zařízeními, což poskytuje zlomyslnému útočníkovi příležitost zaznamenat tyto kódy a použít různé nástroje pro prolomení analyzovat slabiny zabezpečení a využít je k získání neoprávněného přístupu do systému. To funguje nejlépe na slabě šifrovaných systémech, jako je WEP, kde je k dispozici řada nástrojů, které mohou spustit slovníkový útok „případně přijatých“ bezpečnostních klíčů na základě bezpečnostního klíče „modelu“ zachyceného během obnovy sítě.

Síťová injekce

Při útoku síťovou injekcí může hacker využít přístupové body, které jsou vystaveny nefiltrovanému síťovému provozu, konkrétně vysílání síťového provozu, jako je „ Spanning Tree “ (802.1D), OSPF , RIP a HSRP . Hacker vkládá falešné příkazy k opětovné konfiguraci sítě, které ovlivňují směrovače, přepínače a inteligentní rozbočovače. Celá síť může být zbořena tímto způsobem a vyžadovat restart nebo dokonce přeprogramování všech inteligentních síťových zařízení.

Caffe Latte útok

Útok Caffe Latte je dalším způsobem, jak porazit WEP. Není nutné, aby se útočník pomocí této exploity nacházel v oblasti sítě . Pomocí procesu, který cílí na bezdrátový zásobník Windows , je možné získat klíč WEP ze vzdáleného klienta. Odesláním záplavy zašifrovaných požadavků ARP útočník využívá výhody autentizace sdíleného klíče a nedostatků v úpravách zpráv v 802.11 WEP. Útočník pomocí odpovědí ARP získá klíč WEP za méně než 6 minut.

Bezdrátové koncepce prevence narušení

Existují tři hlavní způsoby zabezpečení bezdrátové sítě.

  • U uzavřených sítí (jako jsou domácí uživatelé a organizace) je nejběžnějším způsobem konfigurace omezení přístupu v přístupových bodech . Tato omezení mohou zahrnovat šifrování a kontroly MAC adresy . K zajištění zabezpečení bezdrátové sítě LAN v tomto modelu sítě lze použít systémy pro prevenci narušení bezdrátové sítě.
  • Pro komerční poskytovatele, hotspoty a velké organizace je preferovaným řešením často otevřená a nešifrovaná, ale zcela izolovaná bezdrátová síť. Uživatelé nejprve nebudou mít přístup k internetu ani k místním síťovým zdrojům. Komerční poskytovatelé obvykle přesměrují veškerý webový provoz na vlastní portál, který zajišťuje platby a/nebo autorizaci. Dalším řešením je požadovat, aby se uživatelé bezpečně připojovali k privilegované síti pomocí VPN .
  • Bezdrátové sítě jsou méně zabezpečené než kabelové; v mnoha kancelářích mohou vetřelci snadno navštívit a připojit svůj vlastní počítač ke kabelové síti bez problémů, získat přístup k síti, a také je často možné, aby vzdálení vetřelci získali přístup k síti zadními vrátky, jako je Back Orifice . Jedním obecným řešením může být šifrování typu end-to-end s nezávislým ověřováním všech prostředků, které by neměly být dostupné veřejnosti.

Neexistuje žádný připravený systém, který by zabránil podvodnému používání bezdrátové komunikace nebo chránil data a funkce pomocí bezdrátově komunikujících počítačů a dalších entit. Existuje však systém kvalifikace přijatých opatření jako celku podle společného chápání toho, co je třeba považovat za nejmodernější. Systém kvalifikace je mezinárodní shoda, jak je uvedeno v ISO/IEC 15408 .

Bezdrátový systém prevence narušení

Hlavní článek: Bezdrátový systém prevence narušení

Wireless Intrusion Prevention System (WIPS) je koncept pro většinu robustní způsob, jak potlačit bezdrátové bezpečnostní rizika. Takové WIPS však neexistuje jako připravené řešení k implementaci jako softwarový balíček. WIPS je obvykle implementován jako překrytí stávající infrastruktury bezdrátové sítě LAN , i když může být nasazen samostatně za účelem prosazení zásad bezdrátového připojení v rámci organizace. WIPS je považován za tak důležitý pro bezdrátové zabezpečení, že v červenci 2009 Rada pro bezpečnostní standardy odvětví platebních karet zveřejnila pokyny pro bezdrátové připojení pro PCI DSS doporučující použití WIPS k automatizaci bezdrátového skenování a ochrany pro velké organizace.

Bezpečnostní opatření

Existuje řada opatření pro bezdrátové zabezpečení s různou účinností a praktičností.

SSID se skrývá

Další informace: SSID § Zabezpečení skrývání SSID a maskování sítě

Jednoduchou, ale neúčinnou metodou pokusu o zabezpečení bezdrátové sítě je skrytí SSID (Service Set Identifier). To poskytuje velmi malou ochranu před čímkoli, kromě nejběžnějšího úsilí o vniknutí.

Filtrování MAC ID

Jednou z nejjednodušších technik je umožnit přístup pouze ze známých, předem schválených adres MAC. Většina bezdrátových přístupových bodů obsahuje nějaký typ filtrování MAC ID. Útočník však může jednoduše očichat MAC adresu autorizovaného klienta a tuto adresu zfalšovat .

Statická IP adresa

Typické bezdrátové přístupové body poskytují klientům IP adresy prostřednictvím DHCP . Požadavek, aby klienti nastavili své vlastní adresy, ztěžuje příležitostnému nebo nenáročnému vetřelci přihlášení k síti, ale poskytuje malou ochranu před důmyslným útočníkem.

Zabezpečení 802.11

Hlavní článek: IEEE 802.1X

IEEE 802.1X je ověřovací mechanismus standardu IEEE pro zařízení, která se chtějí připojit k bezdrátové síti LAN.

Pravidelné WEP

Hlavní článek: Wired Equivalent Privacy

Šifrovací standard WEP (Wired Equivalent Privacy) byl původním šifrovacím standardem pro bezdrátové připojení, ale od roku 2004 s ratifikací WPA2 jej IEEE prohlásil za „zastaralý“, a přestože je často podporován, je u moderních zařízení jen zřídka nebo nikdy výchozí.

Byly vzneseny obavy ohledně jeho zabezpečení již v roce 2001, což v roce 2005 dramaticky prokázala FBI , ale v roce 2007 TJ Maxx připustil masivní narušení bezpečnosti, částečně kvůli spoléhání se na WEP a průmysl platebních karet do roku 2008 zakázal jeho používání - a dokonce i poté umožnilo stávající používání pokračovat až do června 2010.

WPAv1

Hlavní článek: Chráněný přístup Wi-Fi

Pro řešení problémů s WEP byly později vytvořeny bezpečnostní protokoly Wi-Fi Protected Access (WPA a WPA2). Pokud použijete slabé heslo, například slovníkové slovo nebo řetězec krátkých znaků, lze prolomit WPA a WPA2. Použití dostatečně dlouhého náhodného hesla (např. 14 náhodných písmen) nebo přístupové fráze (např. 5 náhodně vybraných slov ) činí předem sdílený klíč WPA prakticky nerozbitným. Druhá generace bezpečnostního protokolu WPA (WPA2) je založena na finální dodatku IEEE 802.11i ke standardu 802.11 a je způsobilá pro shodu s FIPS 140-2 . U všech těchto šifrovacích schémat může veškerý provoz číst každý klient v síti, který zná klíče.

Wi-Fi Protected Access (WPA) je vylepšení softwaru/firmwaru oproti WEP. Všechna běžná zařízení WLAN, která fungovala s WEP, lze jednoduše upgradovat a není třeba kupovat žádné nové zařízení. WPA je zkrácená verze standardu zabezpečení 802.11i, který byl vyvinut IEEE 802.11 jako náhrada za WEP. TKIP Šifrovací algoritmus vyvinul pro WPA zajistit zlepšení WEP, který by mohl být postaven jako firmware upgrade na stávajícím zařízení 802.11. Profil WPA také poskytuje volitelnou podporu pro algoritmus AES-CCMP , který je upřednostňovaným algoritmem v 802.11i a WPA2.

WPA Enterprise poskytuje autentizaci založenou na RADIUS pomocí 802.1X. WPA Personal používá k sdílení zabezpečení předem sdílený sdílený klíč ( PSK ) pomocí přístupového hesla o délce 8 až 63 znaků. PSK lze také zadat jako 64 -znakový šestnáctkový řetězec. Slabá hesla PSK lze prolomit pomocí útoků off-line slovníku zachycením zpráv ve čtyřcestné výměně, když se klient znovu připojí poté, co byl zrušen autentizace. Bezdrátová zařízení, jako je aircrack-ng, dokážou prolomit slabé heslo za méně než minutu. Dalšími crackery WEP/WPA jsou AirSnort a Auditor Security Collection . Přesto je WPA Personal bezpečný, pokud je používán s „dobrými“ přístupovými frázemi nebo s plným 64-znakovým hexadecimálním klíčem.

Byly však informace, že Erik Tews (muž, který vytvořil fragmentační útok proti WEP) se chystá odhalit způsob, jak prolomit implementaci WPA TKIP na tokijské bezpečnostní konferenci PacSec v listopadu 2008 a prolomit šifrování na paketu mezi 12. -15 minut. Přesto bylo oznámení této „trhliny“ médii poněkud přehnané, protože v srpnu 2009 je nejlepší útok na WPA (útok Beck-Tews) jen částečně úspěšný v tom, že funguje pouze na krátkých datových paketech, nemůže dešifrovat klíč WPA a aby fungoval, vyžaduje velmi specifické implementace WPA.

Dodatky k WPAv1

Kromě WPAv1 mohou být přidány také TKIP, WIDS a EAP . Také VPN -networks (nespojité zabezpečené síťové připojení), může být zřízen na základě 802.11 standardu. Implementace VPN zahrnují PPTP , L2TP , IPsec a SSH . Tuto dodatečnou vrstvu zabezpečení však lze také prolomit pomocí nástrojů jako Anger, Deceit a Ettercap pro PPTP; a ike-scan , IKEProbe , ipsectrace a IKEcrack pro připojení IPsec.

TKIP
Hlavní článek: Temporal Key Integrity Protocol

To znamená Temporal Key Integrity Protocol a zkratka se vyslovuje jako tee-kip. Toto je součástí standardu IEEE 802.11i. TKIP implementuje směšování klíčů po paketech se systémem nového klíčování a také zajišťuje kontrolu integrity zpráv. Tím se zabrání problémům WEP.

EAP

Vylepšení WPA oproti standardu IEEE 802.1X již zlepšilo ověřování a autorizaci pro přístup k bezdrátovým a kabelovým sítím LAN . Kromě toho další opatření, jako je Extensible Authentication Protocol (EAP), zahájila ještě větší zabezpečení. Protože EAP používá centrální ověřovací server. V průběhu roku 2002 profesor z Marylandu bohužel objevil některé nedostatky. Během několika příštích let byly tyto nedostatky řešeny pomocí TLS a dalších vylepšení. Tato nová verze EAP se nyní nazývá Extended EAP a je k dispozici v několika verzích; mezi ně patří: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPv2 a EAP-SIM.

Verze EAP

Verze EAP zahrnují LEAP, PEAP a další EAP.

SKOK

Hlavní článek: Lightweight Extensible Authentication Protocol

Toto je zkratka pro Lightweight Extensible Authentication Protocol. Tento protokol je založen na standardu 802.1X a pomáhá minimalizovat původní bezpečnostní chyby pomocí WEP a propracovaného systému správy klíčů. Tato verze EAP je bezpečnější než EAP-MD5. To také používá ověřování MAC adres. LEAP není bezpečný; THC-LeapCracker lze rozdělit Cisco ‚s verzi LEAP a mohou být použity proti počítači připojenými k přístupovému bodu v podobě slovníku útoku . Anwrap a asleap konečně jsou další sušenky schopné prolomit LEAP.

PEAP

Hlavní článek: Protected Extensible Authentication Protocol

To znamená Protected Extensible Authentication Protocol. Tento protokol umožňuje bezpečný přenos dat, hesel a šifrovacích klíčů bez potřeby certifikačního serveru. To bylo vyvinuto společnostmi Cisco, Microsoft a RSA Security .

Jiné EAP Existují další typy implementací Extensible Authentication Protocol, které jsou založeny na rámci EAP. Rámec, který byl vytvořen, podporuje stávající typy EAP i budoucí metody ověřování. EAP-TLS nabízí velmi dobrou ochranu díky vzájemné autentizaci. Klient i síť jsou ověřeni pomocí certifikátů a klíčů WEP na relaci. EAP-FAST také nabízí dobrou ochranu. EAP-TTLS je další alternativou společností Certicom a Funk Software. Je to pohodlnější, protože nepotřebujete distribuovat certifikáty uživatelům, ale nabízí o něco menší ochranu než EAP-TLS.

Sítě s omezeným přístupem

Řešení zahrnují novější systém pro ověřování , IEEE 802.1X , který slibuje zvýšení zabezpečení v kabelových i bezdrátových sítích. Bezdrátové přístupové body, které obsahují technologie, jako jsou tyto, mají často také vestavěny směrovače , čímž se stávají bezdrátovými branami .

Šifrování typu end-to-end

Lze tvrdit, že šifrovací metody vrstvy 2 a vrstvy 3 nejsou dost dobré na ochranu cenných dat, jako jsou hesla a osobní e -maily. Tyto technologie přidávají šifrování pouze do částí komunikační cesty, a přesto umožňují lidem špehovat provoz, pokud nějakým způsobem získali přístup ke kabelové síti. Řešením může být šifrování a autorizace v aplikační vrstvě pomocí technologií jako SSL , SSH , GnuPG , PGP a podobných.

Nevýhodou metody end-to-end je, že nemusí pokrýt veškerý provoz. Díky šifrování na úrovni routeru nebo VPN šifruje jediný přepínač veškerý provoz, dokonce i vyhledávání UDP a DNS. S šifrováním typu end-to-end na druhé straně musí mít každá služba, která má být zabezpečena, své šifrování „zapnuto“ a často musí být také „zapnuto“ každé připojení samostatně. Při odesílání e -mailů musí každý příjemce podporovat metodu šifrování a musí si správně vyměňovat klíče. U webu ne všechny webové stránky nabízejí https, a i když ano, prohlížeč rozesílá IP adresy ve formě čistého textu.

Nejcennějším zdrojem je často přístup k internetu. Vlastník kancelářské sítě LAN, který chce omezit takový přístup, bude čelit netriviálnímu vynucovacímu úkolu, kdy se každý uživatel musí pro router autentizovat.

Zabezpečení 802.11i

Nejnovějším a nejpřísnějším zabezpečením, které lze dnes do WLAN implementovat, je standard 802.11i RSN. Tento plnohodnotný standard 802.11i (který používá WPAv2) však vyžaduje nejnovější hardware (na rozdíl od WPAv1), což potenciálně vyžaduje nákup nového vybavení. Tento nový požadovaný hardware může být buď AES-WRAP (dřívější verze 802.11i), nebo novější a lepší zařízení AES-CCMP. Měli byste se ujistit, že potřebujete zařízení WRAP nebo CCMP, protože 2 hardwarové standardy nejsou kompatibilní.

WPAv2

Hlavní článek: IEEE 802.11i

WPA2 je verze konečného standardu 802.11i pod značkou WiFi Alliance. Primárním vylepšením oproti WPA je zahrnutí algoritmu AES-CCMP jako povinné funkce. WPA i WPA2 podporují metody ověřování EAP pomocí serverů RADIUS a předem sdíleného klíče (PSK).

Počet sítí WPA a WPA2 se zvyšuje, zatímco počet sítí WEP klesá, kvůli zranitelnosti zabezpečení v WEP.

Bylo zjištěno, že WPA2 má alespoň jednu bezpečnostní chybu, přezdívanou Hole196. Zranitelnost používá WPA2 Group Temporal Key (GTK), který je sdílený klíč mezi všemi uživateli stejným BSSID , aby zahájily útoky na ostatní uživatele stejné BSSID . Je pojmenována podle stránky 196 specifikace IEEE 802.11i, kde je tato chyba zabezpečení probrána. Aby bylo možné toto zneužití provést, musí být GTK útočníkem znám.

Dodatky k WPAv2

Na rozdíl od 802.1X má 802.11i již většinu dalších doplňkových bezpečnostních služeb, jako je TKIP. Stejně jako u WPAv1 může WPAv2 fungovat ve spolupráci s EAP a WIDS .

WAPI

Hlavní článek: Ověřování WLAN a infrastruktura ochrany osobních údajů

To je zkratka pro WLAN Authentication and Privacy Infrastructure. Jedná se o standard bezdrátového zabezpečení definovaný čínskou vládou.

Chytré karty, USB tokeny a softwarové tokeny

Použití tokenu zabezpečení je metoda ověřování, která se spoléhá pouze na oprávněné uživatele, kteří mají požadovaný token. Chytré karty jsou fyzické tokeny na kartách, které využívají integrovaný čip s integrovaným obvodem pro autentizaci a vyžadují čtečku karet. USB tokeny jsou fyzické tokeny, které se připojují přes port USB k ověření uživatele.

RF stínění

V některých případech je praktické v místnosti nebo budově aplikovat speciální nátěr na stěny a okenní fólie, aby se výrazně zeslabily bezdrátové signály, které zabraňují šíření signálů mimo zařízení. To může výrazně zlepšit bezdrátové zabezpečení, protože pro hackery je obtížné přijímat signály mimo kontrolovanou oblast zařízení, například z parkoviště.

Odmítnutí obrany služby

Většinu útoků DoS lze snadno zjistit. Mnoho z nich je však obtížné zastavit i po detekci. Zde jsou tři z nejběžnějších způsobů, jak zastavit útok DoS.

Černý otvor

Černý otvor je jedním z možných způsobů, jak zastavit útok DoS. Toto je situace, kdy odhodíme všechny IP pakety od útočníka. To není příliš dobrá dlouhodobá strategie, protože útočníci mohou velmi rychle změnit svou zdrojovou adresu.

Pokud se provádí automaticky, může to mít negativní účinky. Útočník by mohl vědomě podvrhnout útočné pakety IP adresou firemního partnera. Automatická obrana by mohla blokovat legitimní provoz od tohoto partnera a způsobit další problémy.

Ověření podání ruky

Ověření podání ruky zahrnuje vytváření falešných otevření a ne odkládání zdrojů, dokud odesílatel nepotvrdí. Některé brány firewall řeší záplavy SYN předběžným ověřením handshake TCP. To se provádí vytvořením falešných otevření. Kdykoli přijde segment SYN, brána firewall odešle segment SYN/ACK zpět, aniž by segment SYN předal cílovému serveru.

Teprve když firewall získá zpět ACK, což se stane pouze v legitimním připojení, pošle firewall původní segment SYN na server, pro který byl původně určen. Brána firewall neodděluje prostředky pro připojení, když přijde segment SYN, takže zpracování velkého počtu falešných segmentů SYN je jen malou zátěží.

Omezení rychlosti

Omezení rychlosti lze použít ke snížení určitého typu provozu až na částku, kterou lze rozumně řešit. Vysílání do interní sítě by bylo stále možné použít, ale například jen v omezené míře. Toto je pro jemnější DoS útoky. To je dobré, pokud je útok zaměřen na jeden server, protože udržuje přenosové linky alespoň částečně otevřené pro další komunikaci.

Omezení rychlosti frustruje jak útočníka, tak legitimní uživatele. To pomáhá, ale ne zcela vyřeší problém. Jakmile provoz DoS ucpe přístupovou linku na internet, hraniční firewall nemůže situaci nijak pomoci. Většina útoků DoS jsou problémy komunity, které lze zastavit pouze pomocí ISP a organizací, jejichž počítače jsou převzaty jako roboti a použity k útoku na jiné firmy.

Mobilní zařízení

Hlavní článek: Zabezpečení mobilních zařízení

S rostoucím počtem mobilních zařízení s rozhraními 802.1X se stává bezpečnost těchto mobilních zařízení problémem. Zatímco otevřené standardy, jako je Kismet, jsou zaměřeny na zabezpečení notebooků, řešení přístupových bodů by se měla rozšířit také na pokrytí mobilních zařízení. Hostitelská řešení pro mobilní telefony a PDA s rozhraním 802.1X.

Zabezpečení v mobilních zařízeních spadá do tří kategorií:

  1. Ochrana před sítěmi ad hoc
  2. Připojení k nepoctivým přístupovým bodům
  3. Schémata vzájemné autentizace, jako je WPA2, jak je popsáno výše

Bezdrátová řešení IPS nyní nabízejí bezdrátové zabezpečení pro mobilní zařízení.

Mobilní zařízení pro monitorování pacientů se stávají nedílnou součástí zdravotnického průmyslu a tato zařízení se nakonec stanou metodou volby pro přístup a provádění zdravotních kontrol u pacientů nacházejících se v odlehlých oblastech. U těchto typů systémů monitorování pacientů je klíčová bezpečnost a spolehlivost, protože mohou ovlivnit stav pacientů a v případě ohrožení by mohly nechat zdravotníky v temnotě.

Implementace šifrování sítě

Aby bylo možné implementovat standard 802.11i, je třeba nejprve zajistit, aby směrovač/přístupový bod (body) a všechna klientská zařízení byla skutečně vybavena podporou šifrování sítě. Pokud je to provedeno, je třeba integrovat server jako RADIUS , ADS, NDS nebo LDAP . Tento server může být počítač v místní síti, přístupový bod / router s integrovaným ověřovacím serverem nebo vzdálený server. Směrovače AP s integrovanými autentizačními servery jsou často velmi drahé a jsou specifickou volbou pro komerční využití, jako jsou hotspoty . Hostované servery 802.1X přes internet vyžadují měsíční poplatek; provozování soukromého serveru je zdarma, ale má tu nevýhodu, že jej musíte nastavit a že server musí být nepřetržitě zapnutý.

Chcete -li nastavit server, musí být nainstalován serverový a klientský software. Serverový software vyžaduje server pro ověřování podnikových dat, jako je RADIUS, ADS, NDS nebo LDAP. Požadovaný software lze vybrat od různých dodavatelů, jako jsou Microsoft, Cisco, Funk Software, Meetinghouse Data, a z některých open-source projektů. Software obsahuje:

Klientský software je dodáván s operačním systémem Windows XP a může být integrován do jiných operačních systémů pomocí některého z následujících softwarů:

  • Klient AEGIS
  • Klient Cisco ACU
  • Software Intel PROSet/Wireless
  • Klient Odyssey
  • Xsupplicant ( open1X ) -project

POLOMĚR

Hlavní článek: RADIUS

RADIUS ( Remote Authentication Dial In User Service ) je protokol AAA (ověřování, autorizace a účtování) používaný pro vzdálený přístup k síti. RADIUS, vyvinutý v roce 1991, byl původně proprietární, ale poté publikoval v roce 1997 pod dokumenty ISOC RFC 2138 a RFC 2139. Cílem je, aby vnitřní server fungoval jako vrátný ověřováním identit pomocí uživatelského jména a hesla, které je již předem určeno uživatel. Server RADIUS lze také nakonfigurovat tak, aby vynucoval zásady a omezení uživatelů a zaznamenával účetní informace, jako je doba připojení, pro účely, jako je fakturace.

Otevřete přístupové body

Dnes je v mnoha městských oblastech téměř úplné pokrytí bezdrátovou sítí - infrastruktura pro bezdrátovou komunitní síť (kterou někteří považují za budoucnost internetu) již existuje. Dalo by se toulat a být vždy připojeni k internetu, pokud by uzly byly otevřené pro veřejnost, ale kvůli bezpečnostním problémům je většina uzlů šifrována a uživatelé nevědí, jak šifrování zakázat. Mnoho lidí považuje za správnou etiketu ponechat přístupové body otevřené veřejnosti, což umožňuje volný přístup k internetu. Jiní si myslí, že výchozí šifrování poskytuje podstatnou ochranu při malých nepříjemnostech, před nebezpečím otevřeného přístupu, kterého se obávají, že může být značné i na domácím routeru DSL.

Hustota přístupových bodů může být dokonce problém - k dispozici je omezený počet kanálů, které se částečně překrývají. Každý kanál zvládne více sítí, ale v místech s mnoha soukromými bezdrátovými sítěmi (například bytové komplexy) může omezený počet rádiových kanálů Wi-Fi způsobit zpomalení a další problémy.

Podle zastánců otevřených přístupových bodů by s otevřením bezdrátových sítí pro veřejnost nemělo zahrnovat žádná významná rizika:

  • Bezdrátová síť je koneckonců omezena na malou geografickou oblast. Počítač připojený k internetu s nesprávnou konfigurací nebo jinými bezpečnostními problémy může zneužít kdokoli z kteréhokoli místa na světě, zatímco pouze klienti v malém geografickém dosahu mohou využívat otevřený bezdrátový přístupový bod. Expozice je tedy u otevřeného bezdrátového přístupového bodu nízká a rizika spojená s otevřenou bezdrátovou sítí jsou malá. Měli byste si však být vědomi toho, že otevřený bezdrátový směrovač poskytne přístup k místní síti, často včetně přístupu ke sdíleným souborům a tiskárnám.
  • Jediným způsobem, jak udržet komunikaci skutečně bezpečnou, je použít šifrování typu end-to-end . Například při přístupu k internetové bance by člověk téměř vždy používal silné šifrování z webového prohlížeče a celou cestu do banky - proto by nemělo být riskantní provádět bankovnictví přes nešifrovanou bezdrátovou síť. Argument je, že kdokoli může očichat provoz, platí i pro kabelové sítě, kde mají správci systému a případní hackeři přístup k odkazům a mohou provoz číst. Každý, kdo zná klíče pro šifrovanou bezdrátovou síť, může také získat přístup k datům přenášeným po síti.
  • Pokud jsou v místní síti dostupné služby jako sdílení souborů, přístup k tiskárnám atd., Je vhodné mít k přístupu autentizaci (tj. Heslem) (nikdy bychom neměli předpokládat, že soukromá síť není přístupná zvenčí). Správně nastaveno by mělo být bezpečné umožnit přístup k místní síti osobám zvenčí.
  • S nejpopulárnějšími šifrovacími algoritmy dnes bude sniffer obvykle schopen vypočítat síťový klíč za několik minut.
  • Je velmi běžné platit fixní měsíční poplatek za připojení k internetu, a ne za provoz - další provoz tedy nebude na škodu.
  • Tam, kde je připojení k internetu bohaté a levné, budou uživatelé s volným přenosem jen zřídka představovat výraznou nepříjemnost.

Na druhou stranu v některých zemích včetně Německa mohou osoby poskytující otevřený přístupový bod (částečně) nést odpovědnost za jakoukoli nezákonnou činnost prováděnou prostřednictvím tohoto přístupového bodu. Mnoho smluv s poskytovateli internetových služeb také uvádí, že připojení nemusí být sdíleno s jinými osobami.

Viz také

Reference

externí odkazy