Artykuły
Jak szczelny jest WLAN?
1 grudnia 2004,
NetWorld
Czy porażka sieci WLAN związana z protokołem WEP to już historia? Na jakim etapie jest wdrażanie bezpiecznych sieci bezprzewodowych z użyciem dostępnych obecnie urządzeń? Dlaczego warto zwracać uwagę na wersję oprogramowania instalowanego sprzętu? Jak przekłada się na bezpieczeństwo obsługa protokołów WPA, 802.1x, 802.11i i innych? Część wątpliwości rozwiewa test przeprowadzony na kilkunastu produktach WLAN różnych dostawców.
Czy porażka sieci WLAN związana z protokołem WEP to już historia? Na jakim etapie jest wdrażanie bezpiecznych sieci bezprzewodowych z użyciem dostępnych obecnie urządzeń? Dlaczego warto zwracać uwagę na wersję oprogramowania instalowanego sprzętu? Jak przekłada się na bezpieczeństwo obsługa protokołów WPA, 802.1x, 802.11i i innych? Część wątpliwości rozwiewa test przeprowadzony na kilkunastu produktach WLAN różnych dostawców.
Wired Equivalent Privacy
Co testowano - Test przeprowadzono na 23 urządzeniach czołowych producentów sprzętu WLANO wadach protokołu WEP mówi się głośno od kilku lat, także my wielokrotnie pisaliśmy o nich na naszych łamach. Najpoważniejszą jest brak zarządzania używanymi kluczami szyfrującymi, które raz przydzielone użytkownikom są bardzo rzadko zmieniane. Każdy, kto odkryje taki klucz, jest w stanie deszyfrować wszystkie informacje nadawane przez stacje go używające, dzięki czemu może nawet przejąć kontrolę nad punktem dostępowym. W ramach testu postanowiono sprawdzić, jak skomplikowane i czasochłonne jest przeprowadzenie tego typu ataku. Czy nowe urządzenia są na niego w równym stopniu podatne, jak te sprzed kilku lat?
Powszechnie już znane narzędzia hakerskie, m.in. WEPCrack lub AirSnort, mogłyby wydawać się dziś przestarzałe, gdyż istnieje wiele technik pozwalających na obronę przed nimi. Niestety, blisko dwie piąte z testowanych urządzeń okazało się podatnymi na atak przy użyciu wspomnianych programów. Ponadto zauważono, że część urządzeń z nowszym oprogramowaniem ustępuje pod tym względem wersjom starszym. Producenci odpierając zarzut, iż nowszy firmware jest gorszy, stwierdzili, że i tak osoby troszczące się o bezpieczeństwo nie używają protokołu WEP.
Należy także pamiętać, że jeśli wykorzystujemy standardową długość klucza (tj. 40 bitów) to jesteśmy narażeni na atak typu brute force przeprowadzony za pomocą np. programu KisMAC rozprowadzanego na zasadzie open source. Kilka z testowanych produktów (m.in. Linksys oraz Netgear) generowało wszystkie klucze WEP przynależne do danego użytkownika po wpisaniu przez niego pojedynczego hasła. Ta metoda jeszcze bardziej ogranicza losowe tworzenie kluczy i czyni protokół WEP słabszym nawet od jego standardowej wersji.
Należy zaznaczyć, że część producentów zastosowała w swoich urządzeniach tzw. silniejszy WEP, oparty na 104-bitowych i dłuższych kluczach. Rozwiązanie to jest całkowicie odporne na ataki brute force, gdyż czas potrzebny na złamanie takiego klucza jest niezwykle długi. Trzeba jednak zdawać sobie sprawę, że niestandardowy wymiar może być przyczyną braku kompatybilności pomiędzy urządzeniami.
Standard IEEE802.1x
802.1x został stworzony z myślą o sieciach przewodowych, jednak zastosowanie go w WLAN pozwoliło uzyskać to, czego do tej pory brakowało - generowanie kluczy WEP co sesję dla każdego klienta. Każde połączenie przechodzące autoryzację zgodną z 802.1x otrzymuje klucz, który może być zmieniany okresowo w zależności od ustawień wprowadzonych przez administratorów. Dodatkową zaletą jest znajomość aktualnych użytkowników sieci, którzy przeszli zróżnicowany stopień zabezpieczeń - od zwykłych haseł, aż po cyfrowe certyfikaty.
Implementacja protokołu 802.1x w większości testowanych urządzeń sprowadziła się do wyboru opcji "wymagaj 802.1x" oraz wskazania odpowiedniego serwera RADIUS. Kilka produktów, np. punkt dostępowy firmy Trapeze, okazało się bardziej elastycznymi. Nie tylko współpracowały z zewnętrznym serwerem uwierzytelniającym, lecz także miały taki wbudowany. To interesujące rozwiązanie, które może się sprawdzić tam, gdzie firmowy RADIUS nie obsługuje 802.1x lub bardzo liczy się szybkość wdrożenia sieci. Niestety, część z testowanych urządzeń WLAN wcale nie obsługiwała 802.1x.
Problematyczne przy wdrożeniu 802.1x może być znalezienie odpowiedniej techniki uwierzytelnienia. Każda z testowanych kart klienckich pozwalała na użycie Protected Extensible Authentication Protocol (PEAP) z mechanizmem hasło/odzew (challenge/response) opartym na metodzie Microsoftu (MSCHAPv2). Sposób ten nie sprawdzi się jednak w sieciach, w których hasła użytkowników zostały przetworzone i są przechowywane w postaci niejawnej (np. w systemach uniksowych w/etc/password). Wówczas możliwe jest zastosowanie uwierzytelnienia na przykład poprzez TTLS/PAP (Tunneled Transport Layer Security/Password Authentication Password), gdyż ten mechanizm współpracuje z zaszyfrowanymi hasłami. Wymaga on jednak zainstalowania w systemie Windows specjalnych sterowników (Apple ma je wbudowane). Inną skuteczną metodą jest wykorzystanie certyfikatów, które były obsługiwane przez każde testowane urządzenie.
Wired Equivalent Privacy
Co testowano - Test przeprowadzono na 23 urządzeniach czołowych producentów sprzętu WLANO wadach protokołu WEP mówi się głośno od kilku lat, także my wielokrotnie pisaliśmy o nich na naszych łamach. Najpoważniejszą jest brak zarządzania używanymi kluczami szyfrującymi, które raz przydzielone użytkownikom są bardzo rzadko zmieniane. Każdy, kto odkryje taki klucz, jest w stanie deszyfrować wszystkie informacje nadawane przez stacje go używające, dzięki czemu może nawet przejąć kontrolę nad punktem dostępowym. W ramach testu postanowiono sprawdzić, jak skomplikowane i czasochłonne jest przeprowadzenie tego typu ataku. Czy nowe urządzenia są na niego w równym stopniu podatne, jak te sprzed kilku lat?
Powszechnie już znane narzędzia hakerskie, m.in. WEPCrack lub AirSnort, mogłyby wydawać się dziś przestarzałe, gdyż istnieje wiele technik pozwalających na obronę przed nimi. Niestety, blisko dwie piąte z testowanych urządzeń okazało się podatnymi na atak przy użyciu wspomnianych programów. Ponadto zauważono, że część urządzeń z nowszym oprogramowaniem ustępuje pod tym względem wersjom starszym. Producenci odpierając zarzut, iż nowszy firmware jest gorszy, stwierdzili, że i tak osoby troszczące się o bezpieczeństwo nie używają protokołu WEP.
Należy także pamiętać, że jeśli wykorzystujemy standardową długość klucza (tj. 40 bitów) to jesteśmy narażeni na atak typu brute force przeprowadzony za pomocą np. programu KisMAC rozprowadzanego na zasadzie open source. Kilka z testowanych produktów (m.in. Linksys oraz Netgear) generowało wszystkie klucze WEP przynależne do danego użytkownika po wpisaniu przez niego pojedynczego hasła. Ta metoda jeszcze bardziej ogranicza losowe tworzenie kluczy i czyni protokół WEP słabszym nawet od jego standardowej wersji.
Należy zaznaczyć, że część producentów zastosowała w swoich urządzeniach tzw. silniejszy WEP, oparty na 104-bitowych i dłuższych kluczach. Rozwiązanie to jest całkowicie odporne na ataki brute force, gdyż czas potrzebny na złamanie takiego klucza jest niezwykle długi. Trzeba jednak zdawać sobie sprawę, że niestandardowy wymiar może być przyczyną braku kompatybilności pomiędzy urządzeniami.
Standard IEEE802.1x
802.1x został stworzony z myślą o sieciach przewodowych, jednak zastosowanie go w WLAN pozwoliło uzyskać to, czego do tej pory brakowało - generowanie kluczy WEP co sesję dla każdego klienta. Każde połączenie przechodzące autoryzację zgodną z 802.1x otrzymuje klucz, który może być zmieniany okresowo w zależności od ustawień wprowadzonych przez administratorów. Dodatkową zaletą jest znajomość aktualnych użytkowników sieci, którzy przeszli zróżnicowany stopień zabezpieczeń - od zwykłych haseł, aż po cyfrowe certyfikaty.
Implementacja protokołu 802.1x w większości testowanych urządzeń sprowadziła się do wyboru opcji "wymagaj 802.1x" oraz wskazania odpowiedniego serwera RADIUS. Kilka produktów, np. punkt dostępowy firmy Trapeze, okazało się bardziej elastycznymi. Nie tylko współpracowały z zewnętrznym serwerem uwierzytelniającym, lecz także miały taki wbudowany. To interesujące rozwiązanie, które może się sprawdzić tam, gdzie firmowy RADIUS nie obsługuje 802.1x lub bardzo liczy się szybkość wdrożenia sieci. Niestety, część z testowanych urządzeń WLAN wcale nie obsługiwała 802.1x.
Problematyczne przy wdrożeniu 802.1x może być znalezienie odpowiedniej techniki uwierzytelnienia. Każda z testowanych kart klienckich pozwalała na użycie Protected Extensible Authentication Protocol (PEAP) z mechanizmem hasło/odzew (challenge/response) opartym na metodzie Microsoftu (MSCHAPv2). Sposób ten nie sprawdzi się jednak w sieciach, w których hasła użytkowników zostały przetworzone i są przechowywane w postaci niejawnej (np. w systemach uniksowych w/etc/password). Wówczas możliwe jest zastosowanie uwierzytelnienia na przykład poprzez TTLS/PAP (Tunneled Transport Layer Security/Password Authentication Password), gdyż ten mechanizm współpracuje z zaszyfrowanymi hasłami. Wymaga on jednak zainstalowania w systemie Windows specjalnych sterowników (Apple ma je wbudowane). Inną skuteczną metodą jest wykorzystanie certyfikatów, które były obsługiwane przez każde testowane urządzenie.
 Interfejs HTTP pozwala w Linksys WAP54G Access Point na wielokrotne wpisywanie hasła i nie może zostać zastąpiony niczym bezpieczniejszym. Napastnik ma ułatwione zadanie, gdyż nie jest wymagana nazwa użytkownika. Punkt dostępowy może być podatny na ataki brute force oraz słownikowe. Nie dostrzeżono jednak rażących zagrożeń bezpieczeństwa. |  Urządzenie Buffalo WBR2-G54 Access Point ma domyślnie aktywny interfejs oparty na HTTP, który nie jest w żaden sposób zabezpieczony. Maksymalna długość hasła, jaką można ustawić, to tylko 8 znaków. Nie ograniczono też liczby prób wprowadzania hasła. Do zalet produktu należy wbudowana funkcjonalność routera. |
Komentarze (0)
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...