Cesta: Info / Tiskové centrum / Články / Wireless LAN (WLAN) network security

• Manuál ServiceDesk ANECT
• HelpDesk
• ServiceDesk

• Tiskové centrum
• Zaměstnání
• Logo ke stažení

V tomto článku se zmíníme o některých bezpečnostních aspektech přístupové části lokální sítě, to znamená té části, kterou uživatel se svým koncovým zařízením (osobním počítačem, PDA) využívá k připojení do lokální datové sítě. Jeho koncové zařízení má obvykle implementován speciální typ síťového adaptéru, který se většinou na bázi elektromagnetického pole spojuje s přístupovým bodem, který uživateli zprostředkovává (většinou již po drátech) spojení s ostatními částmi sítě. Protože médiem pro přenos dat mezi uživatelem a přístupovým bodem je vzduch, je velmi snadné realizovat v tomto prostředí síťové útoky, k nimž patří zejména neautorizovaný přístup, odposlech datového přenosu, narušení integrity a důvěrnosti dat, spoofing, rušení přenosu a mnohé další. Je faktem, že s rozvojem této oblasti síťové technologie začíná být prostředí bezdrátových LAN pro síťové narušitele (dále jen hackery) prostředím velmi atraktivním. Není divu, když hackerovi stačí například laptop s operačním systémem LINUX a programem TCPDUMP, aby zachytil a později v klidu analyzoval veškeré komunikace v lokální síti, kde se mohou vyskytovat přenosy hesel v otevřeném tvaru, nebo jiné pro hackera velmi zajímavé informace. Standard IEEE 802.11b, který specifikuje bezdrátovou komunikaci na lokálních sítích definuje dva základní mechanismy pro zajištění důvěrnosti přenášených dat. Jedná se o SSID (Service Set Idetifiers) a WEP (Wired Equivalent Privacy). Implementací těchto funkcí na každé bezdrátové zařízení v rámci LAN je zajištěno, že data, která se v rámci bezdrátové LAN šíří vzduchem jsou schopny přijmout a dekódovat jen administrátorem určené stanice.

SSID

Princip SSID je velmi jednoduchý. Síť LAN má administrátorem definován jednoznačný identifikátor. Data vysílaná přístupovým bodem jsou schopny přijmout a dekódovat jen ty koncové stanice, které mají tento identifikátor nastaven shodně. Hackerovi obvykle nedá moc práce tuto překážku překonat.

WEP

Jedná se o symetrický šifrovací mechanismus RC4 s proměnlivou délkou klíče, jímž jsou data vysílaná do vzduchu šifrována. Přístupový bod data šifruje a koncové stanice je dešifrují naprosto stejným algoritmem. Stanice buď sdílejí stejný šifrovací klíč, takže v rámci jedné LAN může komunikovat "každý s každým", nebo každá stanice používá pro komunikaci s každou další stanicí klíč jiný, což je bezpečnější přístup. Žádný klient nemůže participovat v LAN bez toho aniž by byl autentizován. Standard 802.11b definuje dva typy autentizace - otevřený a sdílený. Oba typy využívá WEP k identifikaci uživatele a k distribuci šifrovacích klíčů. U otevřeného typu jsou hesla a klíče mezi klienty a přístupovým bodem vyměňovány v clear-text podobě. U druhého typu přístupový bod data zašifruje a klient má za úkol je svým klíčem dešifrovat a poslat zpět. Pokud jsou data dešifrována správně, znamená to, že klient má správný klíč a tím je úspěšně autentizován, v opačném případě nikoliv. Ať už se použije otevřená forma, nebo sdílená, hacker má vždy možnost klíč odchytit. U otevřené formy přímo a u sdílené tím, že zná data před šifrováním a po něm. Pak již není velký problém klíč kombinačními metodami získat.

EAP/802.1X

Jedná se o rozšířenou funkci zajišťující autentizaci klientů pomocí protokolu RADIUS bez toho aniž by se klíče přenášely vzduchem v otevřené podobě. Princip spočívá v tom, že v první fázi spojení je nově příchozí klient vyzván, aby se autentizoval pomocí svého uživatelského a hesla. Mezi klientem a RADIUS serverem pak proběhne obousměrná autentizace na jejímž základě klient obdrží šifrovací klíč. Tento autentizační mechanismus se nazývá LEAP a je to obdoba známého CHAPu, který se používá u PPP spojení. Proces je vidět na následujícím obrázku:

Doporučovaným přístupem pro zvýšení bezpečnosti lokálních bezdrátových sítí je využít některé nadstavbové technologie jako je například standard IPSec. Ten zajišťuje jednak autentizaci klientů a jednak vysokou důvěrnost dat pomocí nesymetriského šifrovacího algoritmu DES, nebo tripple-DES. Nevýhodou u tohoto způsobu řešení jsou značné nároky na výpočetní výkon přístupových bodů a také na SW vybavení klientských stanic. Nevýhodou u IPSecu je také skutečnost, že nejsou podporovány broadcastové komunikace. Proto tam, kde stupeň důvěrnosti dat není příliš vysoký bude vzhledem k HW a SW nárokům IPSecu zcela dostačovat zmíněný WEP s rozšířením o EAP/802.1X (LEAP).