Sieci bezprzewodowe a bezpieczenstwo.pdf

Sieci bezprzewodowe a bezpieczeÒstwo

W œwiecie zabezpieczeñ coraz wiêksz¹ popularnoœæ zdo-

bywaj¹ rozwi¹zania bezprzewodowe „ Wireless LAN ” ( Wire-

less Local Area Network , w skrócie WLAN).

Sieci tego typu wykonywane s¹ najczêœciej z wykorzysta-

niem fal radiowych, jako medium przenosz¹cego sygnały,

ale równie¿ z u¿yciem podczerwieni. S¹ one projektowane

zgodnie ze standardem IEEE 802.11. Do komunikacji wy-

korzystuje siê zwykle pasmo 2,4 GHz, rzadziej 5 GHz.

Szybkoœæ przesyłania danych zale¿na jest od u¿ytego stan-

dardu i odległoœci pomiêdzy u¿ytymi urz¹dzeniami.

Dostêpnoœæ i zarazem atrakcyjna cena urz¹dzeñ powodu-

je coraz czêstsze stosowanie tego typu rozwi¹zañ, np. w mo-

nitoringu wizyjnym. Obiekty chronione ł¹czone s¹ nierzad-

ko w ten sposób z centrami monitoringu. Dziêki niskiemu

kosztowi eksploatacji i brakowi dodatkowych kosztów, zwi¹-

zanych z opłatami dla operatora telekomunikacyjnego, kon-

kurencyjnoœæ takiego rozwi¹zania jest wyj¹tkowo du¿a.

Jak ka¿de rozwi¹zanie, sieci bez-

przewodowe maj¹ zarówno zalety,

jak i wady.

Zalety:

• niski koszt eksploatacji,

• du¿y asortyment sprawdzonych

produktów na rynku,

• łatwoœæ monta¿u i uruchomienia

sieci,

• mo¿liwoœæ stosowania w warun-

kach, w których instalacja sieci

LAN jest niemo¿liwa,

• zapewnienie obsługi poruszaj¹-

cych siê urz¹dzeñ sieciowych.

Wady:

• wykorzystywany standard Wi-Fi

(802.11b i 802.11g) – z ang. „ Wire-

less Fidelity ” – przewiduje pasmo

2.4 GHz; w tym zakresie pracuj¹

takie urz¹dzenia, jak kuchenki

mikrofalowe, telefony bezprzewo-

dowe, sprzêt stosowany w syste-

mach bezprzewodowej telewizji

dozorowej itd., a tak¿e produkty

wykorzystuj¹ce technologiê „ Blue-

tooth ”, co stwarza du¿e mo¿liwoœci wyst¹pienia wzajem-

nych zakłóceñ,

• mały zasiêg,

• podatnoœæ na warunki pogodowe,

• łatwy dostêp do sieci z zewn¹trz,

• mo¿liwoœæ zagłuszania (zakłócania) sieci.

Jak ka¿de rozwi¹zanie sieciowe, równie¿ sieci bezprzewo-

dowe s¹ „łakomym k¹skiem” dla włamywacza. Bior¹c

pod uwagê najbardziej popularne techniki ł¹czenia systemów

teleinformatycznych, takie jak: sieci LAN, ł¹cza modemowe,

ł¹cza szerokopasmowe oraz ł¹cza bezprzewodowe, mo¿na

stwierdziæ, ¿e najbardziej podatnymi na włamania s¹ sieci

WLAN, ze wzglêdu na łatwy dostêp do ich zasobów. Co

prawda, aby uzyskaæ dostêp do sieci LAN, wystarczy podł¹-

czyæ siê do urz¹dzenia aktywnego ( switch , hub ) lub, w przy-

padku modemu, do linii telefonicznej z demodulatorem.

Wówczas mo¿na równie¿ „podsłuchiwaæ” przesyłane pakiety

danych. Mo¿na siê z tym zgodziæ, jednak warto zauwa¿yæ, ¿e,

aby dokonaæ włamania do sieci bezprzewodowych, nie trzeba

siê nigdzie fizycznie podł¹czaæ. Wystarczy, ¿e agresor bêdzie

wyposa¿ony w przenoœny komputer z kart¹ Wi-Fi i znajdzie

siê w zasiêgu sieci. Mo¿e wtedy rozpocz¹æ atak na tê sieæ.

Mo¿liwoœæ przeprowadzenia tego typu ataku zale¿y

przede wszystkim od konfiguracji urz¹dzeñ dostêpowych

( Access Points ) oraz stacji klienckich. Wiêkszoœæ firm i in-

stalatorów niejednokrotnie nie zdaje sobie sprawy z płyn¹-

cych zagro¿eñ. Oczywiœcie taka sytuacja wystêpuje zarówno

w bran¿y zabezpieczeñ, jak i w bran¿y informatycznej.

Jak podaj¹ ró¿ne Ÿródła, wiêkszoœæ sieci Wi-Fi jest prak-

tycznie niezabezpieczona przed niepowołan¹ autoryzacj¹

i dostêpem osób trzecich. Niejednokrotnie, bez profesjo-

nalnej znajomoœci technik włamañ sieciowych mo¿na kon-

trolowaæ tego typu sieæ poprzez „podsłuchiwanie” transmi-

towanych pakietów. Poprzez niezabezpieczon¹ sieæ WLAN

mo¿na bez trudu „podsłuchaæ” transmisjê w sieci lokalnej

w promieniu co najmniej kilkudziesiêciu metrów od budyn-

ku, w którym sieæ działa. Ka¿dy, kto pojawi siê w zasiêgu

sieci, mo¿e bez problemu przegl¹daæ dokumenty (np. cen-

niki, korespondencjê), podsłuchiwaæ rozmowy VoIP („ Vo -

ice over IP ”) lub przeprowadzane

za pomoc¹ komunikatorów interne-

towych itd.

Mo¿liwoœæ takiego dostêpu agreso-

ra do zasobów sieci mo¿e prowadziæ,

w dalszej konsekwencji, do przejêcia

kontroli nad komputerami pracuj¹cy-

mi w sieci, jak równie¿ umo¿liwia mu

podszywanie siê pod u¿ytkowników

innych komputerów w tej sieci, nie

wspominaj¹c ju¿ o mo¿liwych stra-

tach, wynikaj¹cych z przejêcia kore-

spondencji lub haseł dostêpowych.

Najczêœciej spotykane błêdy pod-

czas instalacji i konfigurowania ra-

diowych sieci bezprzewodowych to :

– wł¹czone rozgłaszanie ESSID

( Extended Service Set ID ) w koncen-

tratorze – agresor mo¿e poznaæ na-

zwê atakowanej sieci, co umo¿liwia

mu łatwe wtargniêcie do jej zasobów;

– brak szyfrowania WEP ( Wired

Equivalent Privacy ) lub szyfrowanie

WEP wł¹czone tylko dla niektórych

klientów – wł¹czenie szyfrowania

poł¹czeñ radiowych powoduje spadek ich wydajnoœci

o 10–15%, jednak dziêki temu agresor, dla osi¹gniêcia

zamierzonego celu, bêdzie musiał poœwiêciæ kilkadziesi¹t

godzin na złamanie klucza szyfruj¹cego, co w praktyce

prowadzi do odrzucenia ponad 90% włamañ, dokonywa-

nych przez u¿ytkowników mało doœwiadczonych (tzw.

włamañ przypadkowych);

– brak zaawansowanego szyfrowania w przypadku przesy-

łania drog¹ radiow¹ wa¿nych informacji – nale¿y wów-

czas stosowaæ bardziej wyrafinowane zabezpieczania ni¿

szyfrowanie WEP, które jedynie spowalnia i utrudnia

atak, ale nie zabezpiecza całkowicie przed jego skutecz-

nym przeprowadzeniem;

– stosowanie nieskomplikowanych nazw – w przypadku ko-

niecznoœci korzystania z rozgłaszania ESSID, zaleca siê

stosowanie trudniejszych nazw (typu „MoJa#SieC”),

które znacznie utrudnia „słownikowy” atak, maj¹cy na ce-

lu uzyskanie nazwy sieci;

– pozostawianie punktów dostêpowych bez haseł lub z ha-

słami, które s¹ wprowadzane fabrycznie przez producen-

ta urz¹dzenia;

– bezpoœrednie podł¹czanie punktów dostêpowych do

98 6/2004 Z A B E Z P I E C Z E N I A

sieci LAN w budynku – bez zabezpieczenia (firewall), co

w przypadku złamania zabezpieczeñ sieci Wi-Fi automa-

tycznie daje włamywaczowi dostêp do sieci LAN, np. w firmie;

– brak weryfikacji adresów MAC ( Media Access Control )

urz¹dzeñ komunikuj¹cych siê z punktami dostêpowymi.

Jak nietrudno zauwa¿yæ, na bezpieczeñstwo bezprzewo-

dowych ł¹czy radiowych ma wpływ wiele czynników. Gdy

bezpieczeñstwo takiego rozwi¹zania zostanie pozostawione

przez firmê, instalatora lub u¿ytkownika na drugim planie,

mog¹ pojawiæ siê problemy. W przypadku wykorzystywania

ł¹czy radiowych do monitoringu obiektów, miast itp. nale-

¿y zdawaæ sobie sprawê, ¿e, w przypadku przejêcia kontro-

li nad sieci¹ radiow¹, osoby w chronionych obiektach w jed-

nej chwili mog¹ staæ siê ofiarami, a obiekty przestan¹ byæ

chronione. W głównej mierze mo¿e przyczyniæ siê do tego

ignorancja osób instaluj¹cych system bezpieczeñstwa, wy-

korzystuj¹cych rozwi¹zania bezprzewodowe bez odpowied-

niego przygotowania w zakresie bezpieczeñstwa sieciowe-

go. Nie wystarczy byæ znakomitym technikiem, znaj¹cym

siê na mechanicznym lub elektronicznym zabezpieczaniu

obiektów, ale nale¿y równie¿ zdawaæ sobie sprawê, ¿e spo-

tyka siê coraz czêœciej dodatkowe wyzwania, jakimi s¹ za-

bezpieczenia informatyczne.

Wiêkszoœæ skutecznych włamañ do sieci (ponad 90%)

jest rezultatem braku jakichkolwiek zabezpieczeñ lub błê-

dów popełnionych podczas ich realizacji. Decyduj¹c siê

na korzystanie z dobrodziejstw sieci „ Wireless Lan ”, nale¿y

zdawaæ sobie sprawê z czyhaj¹cych zagro¿eñ i, w miarê

mo¿liwoœci, stosowaæ wszelkie dostêpne zabezpieczenia.

Zastosowanie jakiekolwiek zabezpieczenia, nawet naj-

prostszego, bêdzie o wiele lepsze od zupełnego jego braku.

S EBASTIAN M ATYSIAK

WWW .4 SAFE . PL

Z A B E Z P I E C Z E N I A 6/2004 99

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: