Úvod > Články > Schůdné zabezpečení Wi-Fi

Schůdné zabezpečení Wi-Fi

Wi-Fi Alliance spustila nový program, tentokrát zaměřený přímo na uživatele pro usnadnění konfigurace sítě. Wi-Fi Protected Setup na nových zařízeních zajistí konfiguraci silné autentizace a utajení přenášených dat pouhým stiskem knoflíku. Ale možností bude více, včetně využití karet, USB flash, či zadávání PINů. První certifikované produkty s WPS jsou již na světě.

Wi-Fi Alliance pro zveřejnění prvních zařízení bezdrátových lokálních sítí (Wi-Fi, Wireless Fidelity) certifikovaných podle nejnovějšího programu označeného jako WPS (Wi-Fi Protected Setup™) celkem prozíravě zvolila nedávnou supervýstavu spotřební elektroniky – CES v Las Vegas. Důvod je jasný, podpora Wi-Fi již dávno nepřísluší pouze počítačům či dalším komunikačním pomocníkům (od PDA po mobilní telefony), ale je stále více vlastní právě nejrůznějším kategoriím spotřební elektroniky. A bezpečnostní hrozby se týkají všech zařízení, protože ohrožují uživatele a jejich přenášené informace.

Certifikační program Wi-Fi Alliance už má na svém kontě přes 3000 schválených produktů od zahájení certifikace v roce 2000, ale teprve od roku 2002 se zaměřuje pozornost stále více na zabezpečení Wi-Fi. Zatímco předchozí dva certifikační programy pro bezpečnost zahrnovaly vlastní mechanizmy zabezpečení na zařízeních, nejnovější WPS se týká pouze konfigurace zařízení pro jejich bezpečné připojení do sítě a bezpečnou další komunikaci.

Evoluce zabezpečení Wi-Fi: od WEP k WPA2

Wi-Fi se již vymanila z představ naprosto neochránitelé sítě, nejen z principu snadného odposlechu v dosahu rádiové sítě (navíc pracující v bezlicenčních pásmech), ale také kvůli nedostatkům ve specifikaci úspěšných sítí 802.11b/g (ale totéž platí i pro v Evropě příliš nevídanou 802.11a). Počáteční nedostatky lze přičíst tomu, že 802.11b se datuje do roku 1999 a 802.11g je jen o čtyři roky mladší a s 802.11b zpětně slučitelná, a v té době nebyl tlak na zabezpečení sítí tak značný, zkušenosti s rádiovými sítěmi v plenkách a na nebývalý rozmach popularity Wi-Fi tenkrát málokdo jen pomyslel.

Protokol WEP (Wired Equivalent Privacy) byl jediným bezpečnostním prvkem zabudovaným do sítí 802.11a/b/g, který se brzy ukázal jako nedostatečný. Přes svůj slibný název WEP totiž neposkytuje prakticky žádnou autentizaci a jen velice slabé šifrování přenášených dat. Jeho možnosti lze ve zkratce charakterizovat následovně:

  • autentizace – jednostranná (pouze klientské zařízení vůči přístupovému bodu);
  • utajení dat - 64bitové nebo 128bitové šifrování (v délce [klíč+inicializační vektor IV]=[{40;104}+24]);
  • ověření integrity dat – pomocí 32bitové hodnoty ICV (Integrity Check Value).

Seznam slabin WEP je hodně dlouhý, ale přestože je protokol považován za zastaralý, je třeba mít tyto bezpečnostní hrozby na paměti, protože v síti lépe zabezpečené stačí jediný klient s nastaveným WEP a celá síť své zabezpečení poníží na tuto úroveň. Problémem WEP je již zmíněná jednostranná autentizace (otevírá prostor pro falešné, rogue, přístupové body) pouze zařízení, nikoli uživatele (krádež zařízení znamená krádež klíče a nutnost klíče překonfigurovat na všech zařízeních), která se provádí statickým sdíleným klíčem (s možností odchycení a zlomení klíče). Šifrování také trpí použitím stejného, statického (součást klíče IV se sice mění s každým paketem, ale v reálném čase se opakuje) a krátkého klíče na všech zařízeních v téže Wi-Fi, použitím slabého šifrovacího mechanizmu RC4 a také nutností manuální distribuce a změny WEP klíčů. Na adresu ochrany integrity dat pomocí WEP je třeba upozornit na možnosti útoku man-in-the-middle, protože ICV používá nedostatečný lineární kód (CRC-32).

WPA/WPA2

Takže se muselo rychle pracovat na bezpečnostních doplňcích pro Wi-Fi, které v nejprve představovala specifikace WPA (Wi-Fi Protected Access) jako „dočasné řešení“ Wi-Fi Alliance. Součástí WPA, které mělo odstranit zásadní nedostatky WEP, je protokol EAP (Extensible Authentication Protocol) podporující vzájemnou autentizaci uživatele i sítě (ochrana proti falešným přístupovým bodům) a distribuci klíčů, MIC (Message Integrity Check) chránící integritu dat proti narušení a protokol TKIP (Temporal Key Integrity Protocol) s klíčem měnícím se pro každý paket na obranu proti útoku hrubou silou a vylepšení délky IV (48 bitů).

V roce 2004 konečně došlo ke schválení bezpečnostního doplňku normy pro Wi-Fi (802.11i) a zahájila se certifikace (pod označením WPA2) plnohodnotného zabezpečení nabízející kvalitní obousměrnou autentizace na bázi 802.1x EAP a šifrování pomocí nepokořeného AES (Advanced Encryption Standard).

Wi-Fi Alliance certifikovala (logo Wi-Fi CERTIFIED®) postupně zařízení podle WPA (s lepší autentizací oproti WEP a dynamickými šifrovacími klíči) a následně WPA2 (zahrnující všechny povinné prvky podle 802.11i). 802.11i/WPA2 představuje již takové zabezpečení, které od (bezdrátové) sítě dnes uživatelé požadují a je plně dostačující i pro Wi-Fi v podnikových sítích.

Přestože je certifikace produktů 802.11 podle WPA2 již povinná (každý nový certifikovaný produkt musí podporovat nejvyšší úroveň zabezpečení), uživatelé stále nevěnují bezpečnosti svých sítí dostatečnou pozornost. Loňský průzkum JupiterResearch zjistil, že 40% uživatelů si neaktivuje bezpečnostní prvky ve své Wi-Fi (stěžují si na složitost) nebo o nich vůbec neví, a z nich polovina spoléhá na firewall. Podle průzkumu Wi-Fi Alliance/Kelton Research z léta 2006 dokonce 44% uživatelů považuje konfiguraci zabezpečení WLAN za středně až značně obtížné.

Nový (pro výrobce zatím nepovinný) program Wi-Fi Protected Setup™ (WPS, na základě specifikace označované jako Wi-Fi Simple Config) nezjednodušuje zabezpečení sítě (samozřejmě zahrnuje WPA2), ale pouze ulehčuje potřebnou konfiguraci. Podporuje snadnou konfiguraci zabezpečovacích prvků sítě tak, aby běžní uživatelé měli šanci svoji Wi-Fi správně zabezpečit a nebyli odrazeni složitým procesem nastavení bezpečnostních mechanizmů.

První fáze programu podporuje konfiguraci autentizace, kdy směrovač poskytne klientům šifrovací klíče pro WPA/WPA2 na základě stisknutí „jediného knoflíku“ (obdoba metody AOSS používané na zařízeních Buffalo) nebo zadáním PIN (4 nebo 8 číslic; obdoba metody JumpStart u produktů Atheros).

Stiskem fyzického knoflíku (PBC, Push Button Configuration) na směrovači a hardwarového nebo softwarového tlačítka na klientovi se klienti mohou připojit do sítě (celá procedura po jeho stisku trvá dvě minuty, což ale může dovolit neautorizovaným zařízením se také připojit do sítě).

PIN se buď generuje softwarově a zobrazuje se na monitoru, nebo je předprogramovaný v klientském zařízení a vytištěný na přiložené kartě/nálepce. Přístupový bod, směrovač nebo PC fungující jako registrátor připojených zařízení na základě detekce nového zařízení požádá uživatele o zadání jeho příslušného PIN, pokud má být zařízení připojeno do sítě. Na základě WPS systém pro jednoduchost automaticky generuje SSID (Service Set IDentifier), které se pak použije v rámci WPA/WPA2 pro generování dalších šifrovacích prvků, což vyvolává otazníky nad možností bezpečnostních útoků na default názvy sítí.

V další fázi (ještě v první půli letošního roku) se počítá s využitím tokenů nebo bezkontaktních karet pro bezdrátový přenos NFC, Near-Field Communications) potřebných informací pro nastavení. Přiblížení karty nebo tokenu k bezdrátovému zařízení iniciuje výměnu klíčů. Další připravovanou variantou WPS je využití USB paměti flash, jejímž prostřednictvím se manuálně přenesou potřebné informace do všech klientských zařízení v síti. Místo manuálního zadávání kódů se kopírují automaticky informace z tokenu nebo paměti.

WPS spolupracuje s minulostí, ale myslí na budoucnost

Čtyři varianty mechanizmů WSP jsou podle Wi-Fi Alliance potřeba kvůli různorodosti zařízení, která podporují Wi-Fi a potřebují být zabezpečena. WPS by mělo odstranit složité zadávání hesel pro WPA na zařízeních, která nejsou vybavena klávesnicí. Zabezpečení díky WPS přestává být výsadou jen některých výrobců WLAN, protože se konečně stává komoditou. Ve skutečnosti je WPS první specifikací připravenou samotnou Wi-Fi Aliancí, protože WPA nebo WMM byly odvozeny z (návrhů) norem. WPS je ale mechanizmus, který se věnuje použitelnosti a odpovídá uživatelským zkušenostem, a tyto záležitosti nebývají zohledněny v normalizačních institucích.

WPS bude k dispozici ke stažení za nominální poplatek. Načasování programu umožní začlenění WPS i do pre-standard produktů rychlé WLAN (100+ Mbit/s), u kterých se předpokládá první fáze certifikace (na bázi draft 2.0 802.11n předloženého ke schválení na březnovém zasedání IEEE) někdy od poloviny roku (norma 802.11n sama bude schválena nejdříve v roce 2008). WPS je také podporované ve Windows Vista™.

Uživatel má pochopitelně možnost i s WPS nahlédnout do konfigurace sítě a jejích bezpečnostních parametrů na směrovači a na přístupovém bodě, což bude třeba v případech sítí s kombinací nových zařízení a starších bez WPS. Pro starší zařízení (s podporou WPA nebo WPA2) se předpokládá, že bude WPS k dispozici prostřednictvím stávajícího klientského softwaru a webové konfigurace WPA klíčů (autentizace na základě PIN). Pro konfiguraci na základě stisku tlačítka pak bude třeba firmware pro starší zařízení.

19. 1. 2007

Autor: Ing. Rita Pužmanová, CSc., MBA

Témata

telekomunikace

Sdílejte

Přečtěte si také

 

Hackeři se dostali k informacím o zakázkách maďarské armády

Maďarská armáda se stala terčem kybernetického útoku. Hackerům se podařilo dostat k jejím obranným zakázkám, které...

 

Guardian opouští platformu X kvůli znepokojivému obsahu

Britský deník Guardian oznámil, že již nebude přispívat na platformu X. Stejně jako mnohým dalším britským...

 

Austrálie plánuje zákaz sociálních médií pro uživatele mladší 16 let

Australská vláda oznámila, že plánuje zakázat používání sociálních sítí uživatelům mladším 16 let. Chce omezit...

Nejčtenější články

Rusko udělilo Googlu pokutu, na zaplacení by mu nestačily ani všechny peníze světa

 

Ruský soud uložil společnosti Google pokutu dva a půl sextilionů rublů – dvojka následovaná 36 nulami – za omezování...

Vánoce u T-Mobile: Sluchátka a telefon za 1 Kč i data za půlku

 

T-Mobile si letos pro své zákazníky přichystal celou řadu vánočních dárků. Od tradičních telefonů a sluchátek za 1...

Nova ukončila spolupráci s Vodafonem a T-Mobilem, stahuje Voyo z TV balíčků

 

Skupina Nova se rozhodla, že omezí spolupráci s operátory Vodafone a T-Mobile. Platforma Voyo už od února nebude...