+421 2 20 838 400
[email protected]
Kontaktujte nás
Vybrať región
sk
  • SK
  • CZ
  • EN
Vytlačiť

Infoware, str.46 / Bezpečnosť bezdrôtových sietí

Prečo je vlastne dôležitá bezpečnosť bezdrôtových sietí? Je všeobecne známa skutočnosť, že celková bezpečnosť siete je na takej úrovni, ako je chránená jej najslabšia časť. Pretože pri sieťach najviac "vidieť" práve bezdrôtový prístup, je veľmi dôležité túto cestu vhodne zabezpečiť. Musíme však mať na pamäti, že úlohou nie je len chrániť všetky cesty, ale aj priniesť správcom a používateľom komfort a jednoduchú obsluhu. V tomto článku stručne opíšeme celú cestu, ktorou sa bezpečnosť bezdrôtových sietí uberala a v súčasnosti uberá.

Autorizačné metódy s lokálne uloženým kľúčom

Počiatky bezpečnosti
WEP (Wired Equivalent Privacy) je prvá snaha o riešenie bezpečnosti v bezdrôtových sieťach. Je súčasťou normy IEEE 802.11 a pochádza už z roku 1999. Táto metóda je založená na šifrovaní pomocou statického kľúča s rôznymi dĺžkami (64 - 256 bitov). Jej systém zabezpečenia je dnes už prekonaný, a tak nie je veľký problém jej šifru prelomiť. Stačí pomocou paketového analyzátora nachytať väčšie množstvo paketov a spustiť crackovací nástroj, ktorý zvládne použiť aj laik.

Dynamické kľúče
Sofistikovanejšie riešenie je WPA (Wi-Fi Protected Access) s vopred zdieľaným heslom a šifrovaním dát pomocou TKIP (Temporary Key Integrity Protocol). Tento protokol je založený na dynamickej zmene šifrovacieho kľúča, meniaceho sa približne po každých 10 000 paketoch. Používa 128-bitový kľúč na enkrypciu a 64-bitový na autentizáciu. I tu však narážame na určitý bezpečnostný problém, pretože na tento druh zabezpečenia možno zaútočiť počas inicializácie spojenia pri prenose inicializačného hesla a vhodnými nástrojmi ho prelomiť.

Dnešná situácia
Najnovšia metóda WPA2 je súčasťou normy 802.11i, ktorá implementuje do riešenia nové bezpečnostné prvky, najmä šifrovací algoritmus založený na AES (Advanced Encryption Standard). Je to bloková šifra s pevnou dĺžkou bloku 128 bitov a s dĺžkou kľúča 128 - 256 bitov. Predchádzajúce šifry WEP a WPA/TKIP pracovali ešte s prúdovými šiframi RC4.
Tieto metódy sú však riešením len pre domáci trh, prípadne pre veľmi malé firmy, pretože správa väčšieho množstva takto zabezpečených zariadení nie je veľmi efektívna. Pri väčších inštaláciách sa používa ďalej opísané riešenie, kde sa skombinuje použitie šifrovacích mechanizmov so vzdialeným overovaním používateľov.

Autorizačná metóda so vzdialeným overovaním pomocou RADIUS servera

802.1X - liek na neduhy lokálnej autentizácie
Táto metóda je založená na komunikácii klienta v používateľskom počítači, tzv. suplikanta, cez prípojný bod na server na overovanie prístupových práv (RADIUS server), kde sú buď uložené informácie o jednotlivých používateľoch, alebo oveľa častejšie existuje spojenie priamo do Active Directory Windows domény, prípadne iného LDAP servera. Tak sa možno elegantne vyhnúť nielen prenosu úvodného hesla (pri metódach s lokálnou autentizáciou), ale ak používame 802.1X na prihlásenie do domény Windows, možno použiť priamo prihlasovacie údaje. Komunikácia je tak od začiatku zabezpečená vďaka protokolu PEAP (Protected Extensible Authentication Protocol), ktorý s pomocou protokolu TLS (Transport Layer Security) vytvára šifrovaný kanál medzi preverujúcim klientom a serverom. Ďalšia výhoda tohto riešenia je diferenciácia prístupu používateľov, pretože na RADIUS serveri možno pre každú skupinu vytvoriť iné pravidlá prístupu, napríklad pripojenie do inej virtuálnej siete (VLAN).

Oddelené prístupy používateľov - VLAN
Z pohľadu správcu však nie sú dôležité len vlastné mechanizmy zabezpečenia bezdrôtovej prevádzky, ale aj nadväzné technológie uľahčujúce riadenie a zvyšujúce celkovú bezpečnosť. Medzi najdôležitejšie technológie patrí predovšetkým rozdelenie prístupových sietí do viacerých virtuálnych sietí (VLAN) a možnosť priviesť ich do bezdrôtového prístupového bodu jedným fyzickým spojom, tzv. frame tagging podľa normy IEEE 802.1Q. Tieto siete ďalej možno doviesť sieťovou infraštruktúrou do stavového firewallu a bezpečne od seba oddeliť pravidlami.

Nadväznosť na bezpečnosť koncových staníc
Diferenciáciu používateľov pri autentifikácii pomocou 802.1X možno výhodne spojiť aj s bezpečnosťou koncových staníc. Údaje o používateľoch môžu byť rozšírené pomocou tzv. policy serverov o vynútenú politiku, prítomnú na používateľských počítačoch. Pri hlásení do privilegovanej siete možno napríklad vynútiť prítomnosť antivírusu, antispywaru, osobného firewallu alebo patchov operačného systému. Ak prístupový bod umožňuje dynamické pridelenie VLAN, možno ísť ešte ďalej - v prípade, že používateľ nespĺňa požiadavky, RADIUS server ho pridelí do karanténnej VLAN, kde sú mu potrebné doplnky automaticky nainštalované. Po novej kontrole je používateľ pripojený do žiadanej privilegovanej siete. Ak nesplní žiadne požiadavky vrátane prihlasovacích parametrov (najčastejšie návšteva), môže byť pridelený do najslabšej siete, napríklad s voľným internetom.
Na záver možno povedať, že pri riešení bezpečnosti bezdrôtových sietí možno použiť celú škálu zaujímavých technológií, ktoré uľahčujú a zlepšujú celý systém. Určite možno odporúčať investície do týchto prostriedkov aj investície do zvýšenia odbornosti správcov vedúce k zvládnutiu týchto technológií. Ako je napísané už na začiatku, sieť Wi-Fi je väčšinou prvá nárazová zóna, ktorú sa nepriateľ pokúsi obliehať.

ROLF FLEISCHHANS 
Network Specialist
Asseco Central Europe

Vytlačiť