Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Bezpečnosť bezdrôtových sietí

Bezdrôtové siete sú v súčasnosti veľmi obľúbenou technológiou a to najmä vďaka jednoduchosti pripojenia rozličných zariadení do siete. Avšak jednoduchosť pripojenia je zároveň nevýhodou z hľadiska bezpečnosti. Zatiaľ čo v klasickej sieti LAN musel útočník na pripojenie do siete a odchytenie komunikácie získať fyzický prístup na prenosové médium (ethernetový kábel), v prípade bezdrôtovej siete stačí útočníkovi na zachytenie komunikácie priblížiť sa do dosahu signálu – rádovo niekoľko metrov (v prípade použitia špecializovanej antény aj viac ako 10 m). Existujú viaceré metódy zabezpečenia Wi-Fi sietí, ktoré boli vyvíjané s cieľom odstrániť ich slabiny, pričom každá poskytuje rôznu úroveň bezpečnosti.

Pojmy a štandardy
WLAN – Wireless Local Area Network, súhrnné označenie pre lokálne siete využívajúce na prenos dát bezdrôtovú technológiu podľa štandardu IEEE 802.11.

Wi-Fi – Wireless Fidelity, označenie bezdrôtových zariadení spĺňajúcich štandard Wi-Fi. Certifikáciu vykonáva aliancia Wi-Fi na zabezpečenie interoperability bezdrôtových zariadení.

Infraštruktúrny režim – zariadenia v sieti WLAN komunikujú prostredníctvom jedného alebo viacerých prístupových bodov (Access Point alebo AP), prípadne Wi-Fi smerovača, ktorý riadi komunikáciu aj pripájanie do siete.

Režim Ad-hoc – zariadenia v sieti WLAN komunikujú priamo medzi sebou metódou peer-to-peer bez potreby centrálneho prístupového bodu.

Možnosti zabezpečenia
V priebehu existencie štandardu 802.11 bolo navrhnutých viacero možností ako zabezpečiť komunikáciu a prístup v bezdrôtových sieťach, pričom tieto sa postupne vyvíjali. Jednotlivé opatrenia poskytujú rôznu úroveň zabezpečenia a preto je vhodné poznať ich výhody a nevýhody.

Skrytie SSID
Klienti identifikujú dostupné Wi-Fi siete na základe pravidelných správ, v ktorých prístupový bod štandardne vysiela SSID (Service Set Identification). SSID je alfanumerický reťazec, ktorý predstavuje meno danej bezdrôtovej siete. Na základe tohto mena klientske stanice identifikujú sieť, ku ktorej sa chcú pripojiť. Priamočiarym opatrením na zvýšenie bezpečnosti sa môže zdať zakázanie ohlasovania mena siete a tým jej skrytie pred nepovolanými stanicami, ktoré dané meno nepoznajú.

Slabiny: Toto opatrenie neprináša žiadne zvýšenie bezpečnosti, pretože meno siete je možné pomocou odpočúvania jednoducho zistiť z prebiehajúcej komunikácie medzi stanicami, ktoré sú v danej sieti už pripojené.

Filtrovanie MAC adries
Ďalšou možnosťou zabezpečenia prístupu do siete je vytvorenie zoznamu MAC adries klientov, ktorí majú povolený prístup do siete a komunikáciu z ostatných MAC adries odfiltrovať na prístupovom bode.

Slabiny: Každá bezdrôtová sieťová karta má unikátnu MAC adresu, avšak to akú adresu zariadenie používa je možné nastaviť aj manuálne. Potenciálny útočník teda môže monitorovať prevádzku na bezdrôtovej sieti , zistiť MAC adresy povolených klientov a následne zmeniť svoju MAC adresu na niektorú z povolených MAC adries. Toto opatrenie neprináša zvýšenie bezpečnosti a dokáže v najlepšom prípade iba zdržať potenciálneho útočníka o pár sekúnd.

WEP
Wired Equivalent Privacy (WEP) bol navrhnutý v štandarde 802.11 s cieľom zabezpečiť súkromie na úrovni ekvivalentnej so štandardnou „káblovou“ sieťou. Tento protokol je založený na použití šifrovacieho algoritmu RC4, pričom na zašifrovanie správy je použitý šifrovací kľúč dĺžky 64 alebo 128 bitov odvodený zo 40 alebo 104 bitového tajného kľúča a inicializačného vektora (IV) dĺžky 24 bitov. Inicializačné vektory sú určené na obmieňanie šifrovacieho kľúča a mali by byť menené po odvysielaní každého paketu.

Slabiny: Kvôli bezpečnostným slabinám v algoritme RC4 a faktu, že IV sú prenášané v otvorenej forme je možné prelomenie zabezpečenia WEP. Útok je založený na odchytávaní rámcov s cieľom získať čo najviac unikátnych IV a následne z nich odvodiť tajný kľúč. Zložitosť útoku je nízka s časom prelomenia rádovo niekoľko minút. Okrem toho WEP obsahuje aj ďalšie slabiny a preto WEP poskytuje len minimálne zvýšenie bezpečnosti WLAN siete a nie je odporúčané ho používať.

WPA/WPA2
Na adresovanie bezpečnostných problémov protokolu WEP aliancia Wi-Fi publikovala v roku 2001 protokol Wi-Fi Protected Access (WPA). Cieľom bolo uvedenie bezpečnejšieho protokolu do ratifikovania štandardu IEEE 802.11i (2004), ktorý definuje robustnú a rozšíriteľnú architektúru vhodnú pre domácnosti i veľké spoločnosti. Zariadenia spĺňajúce špecifikáciu 802.11i sú Wi-Fi alianciou certifikované ako WPA2 kompatibilné. WPA spĺňa podmnožinu špecifikácie 802.11i.

WPA poskytuje nový šifrovací algoritmus TKIP a nový algoritmus na zabezpečenie integrity, nazývaný Michael. WPA2 pridáva nutnosť podpory šifrovacieho algoritmu Advanced Encryption Standard (AES) s použitím CCMP. WPA/WPA2 používa dvojfázovú autentifikáciu. Najskôr je vykonaná otvorená autentifikácia a asociácia s AP a potom prebehne autentifikácia jednou z nasledovných metód:

  • PSK (Pre-shared Key), označované ako WPA/WPA2 Personal – zdieľaný kľúč medzi klientom a prístupovým bodom, kde autentifikácia a dohodnutie šifrovacích parametrov prebehnú počas 4-cestnej výmeny protokolom EAPoL.
  • 802.1x, označované ako WPA/WPA2 Enterprise – klient sa autentifikuje voči autentifikačnému serveru (napr. RADIUS) pomocou protokolu EAP a až potom sú dohodnuté parametre šifrovania pre komunikáciu. Tento spôsob je vhodný do korporátnych sietí, umožňuje centrálne spravovať používateľské kontá na prístup do siete.

Slabiny: V prípade použitia metódy PSK je možné prelomenie zabezpečenia pomocou aplikovania slovníkového útoku na pakety EAPoL výmeny. Pri útoku je potrebné získať všetky 4 pakety EAPoL autentifikácie a navyše je potrebné, aby sa skutočné heslo nachádzalo v slovníku. Útok je možné urýchliť aktívnym odpájaním (deautentifikovaním) klientov, prípadne použitím predvypočítaných tabuliek hashov (rainbow tabuľky). Z toho vyplýva, že dostatočne zložité heslo zabráni prelomeniu WPA-Personal.

Pri použití metódy 802.1x je zložitosť útoku vyššia, pretože pre rôzne druhy EAP autentifikácie je potrebné aplikovať iný druh útoku. V prípade EAP-MD5 a LEAP je možný podobný útok ako pri PSK metóde, preto je odporúčané nakonfigurovať PEAP alebo EAP-TLS. Bližšie informácie o možných útokoch na 802.1x je možné nájsť napr. na stránke www.securitytube.net .

WPS    
Wi-Fi Protected Setup (WPS) bol vyvinutý s cieľom zjednodušiť proces konfigurácie a zabezpečenia bezdrôtových sietí. Na nastavenie zabezpečenia siete pomocou WPA/WPA2 poskytuje tri jednoduché metódy:

  • Stlačenie tlačidla na zariadení (PBC) – prístupový bod/Wi-Fi smerovač obsahuje špeciálne hardvérové tlačidlo a ostatné zariadenia obsahujú hardvérové alebo softvérové tlačidlo. Po stlačení tlačidiel sa iniciuje automatická konfigurácia, ktorá trvá približne 2 minúty.
  • Zadanie PIN kódu – Pri pridaní zariadení do siete je potrebné zadanie PIN kódu, ktorý sa nachádza na zariadení alebo je vygenerovaný a zobrazený na displeji. Poskytnutie metódy PIN kódu je povinné na splnenie WPS certifikácie.
  • Použitie Near Field Communication (NFC) – na prenos sieťových a bezpečnostných nastavení je použitý štandard NFC.

Slabiny: Kvôli spôsobu, ktorým sa posielajú informácie o zadanom PIN kóde medzi zariadením a prístupovým bodom je možné použiť útok hrubou silou na odhalenie WPS PIN-u a WPA/WPA2 hesla. Táto zraniteľnosť bola publikovaná na konci roku 2011 a úspešné získanie PIN-u a hesla obvykle trvá 2-10 hodín. Z tohto dôvodu je odporúčané zakázať na prístupovom bode funkcionalitu WPS.

Odporúčania pri vytváraní Wi-Fi sietí
Pri vytváraní bezdrôtových sietí je odporúčané použiť zabezpečenie pomocou protokolu WPA2. V prípade, že WPA2 nie je podporované, dostatočnú ochranu zabezpečí aj WPA. Ostatné protokoly majú vážne bezpečnostné nedostatky a nie je vhodné ich používať pri vytváraní nových sietí.

Najvyššiu úroveň bezpečnosti poskytuje WPA/WPA2 Enterprise (s autentifikáciou EAP-TLS, prípadne PEAP). Nevýhodou je potreba 802.1x autentifikačného servera a zložitá konfigurácia. Táto metóda je určená hlavne do korporátneho prostredia. V prípade jednoduchých sietí je vhodné použitie metódy WPA/WPA2 Personal. Pritom je potrebné nastaviť zdieľaný kľúč, ktorý má dostatočnú zložitosť (20 znakov, použitie malých a veľkých písmen, číslic a špeciálnych znakov) a nemá tvar slova zo slovníka.

Pri konfigurácii je tiež dôležité zmeniť heslo do administrátorského rozhrania prístupového bodu alebo Wi-Fi smerovača a zakázať prístup na toto rozhranie z Internetu.

Ak je to možné, je odporúčané zvoliť bezdrôtový smerovač, ktorý podporuje ochranu management rámcov podľa štandardu 802.11w. Management rámce sú používané pri riadení pripájania a odpájania do bezdrôtovej siete a nie sú podľa 802.11i nijako chránené, v dôsledku čoho je možné z ľubovoľnej stanice odoslať požiadavku na odpojenie inej stanice. Na rozdiel od toho poskytuje 802.11w istú formu bezpečnosti pre tieto rámce pomocou protokolu BIP, ktorý zabraňuje falšovaniu a nedovolenej retransmisii rámcov.

Konfigurácia sietí pomocou WPS nie je odporúčaná kvôli zraniteľnosti umožňujúcej útok hrubou silou na zistenie PIN kódu a prístupového hesla do bezdrôtovej siete.Pri návrhu siete tiež treba zobrať do úvahy dosah signálu prístupových bodov a nastaviť vysielací výkon na takú hodnotu, ktorá eliminuje možnosti pripojenia sa do siete z vonkajšieho priestoru.

Odporúčania pri pripájaní do nezabezpečených (free) Wi-Fi sietí
V nezabezpečených Wi-Fi sieťach existuje riziko Man-in-the-Middle útoku, pri ktorom sa potenciálny útočník vydáva za prístupový bod a dokáže čítať komunikáciu a tým získať napríklad prístupové údaje k online službám. Z tohto dôvodu je odporúčané neprihlasovať sa do žiadnych služieb na nezabezpečených bezdrôtových sieťach. V prípade nutnosti prihlásenia sa je odporúčané použiť VPN pripojenie do dôveryhodnej siete, čo zabráni útokom typu Man-in-the-Middle.

Odporúčania pre mobilné zariadenia
Vypínať bezdrôtové rozhranie v prípade, že nie je používané. Ak je rozhranie zapnuté permanentne, vysiela v pravidelných intervaloch rámce na zistenie známych sietí, čo môže potenciálny útočník zneužiť na podvrhnutie falošnej siete a získanie prihlasovacích údajov, prípadne môže na základe SSID vyhľadávaných sietí zistiť geografické lokality, v ktorých sa majiteľ zariadenia pohybuje.

Referencie
https://technet.microsoft.com/en-us/library/bb878054.aspx
http://www.security-portal.cz/clanky/bezpe%C4%8Dnost-hacking-wifi-80211-1-%C3%BAvod-p%C5%99%C3%ADprava
http://www.aircrack-ng.org
http://www.wi-fi.org/knowledge-center/faq/how-does-wi-fi-protected-setup-work
http://www.kb.cert.org/vuls/id/723755
http://securitysynapse.blogspot.md/2014/02/wireless-pentesting-on-cheap-kali-WPAEntPartI.html
http://www.securitytube.net/groups?operation=view&groupId=9