Sieci bezprzewodowe i zdalny dostęp

Sieci bezprzewodowe i zdalny dostęp
Wstęp
Sieci bezprzewodowe stają się coraz bardziej popularne. Możemy je spotkać praktycznie wszędzie – w hotelach, centrach handlowych, na
uczelniach ale także coraz częściej w prywatnych domach. Wraz ze wzrostem powszec hności ich stosowania, coraz ważniejszy jest aspekt
bezpieczeństwa tej technologii. Czy jednak będąc użytkownikiem sieci bezprzewodowych, możemy skutecznie uchronić się przed zagrożeniami?
Na pewno możemy to uczynić lepiej lub gorzej.
Podstawowe zagadnien ia dotyczące sieci bezprzewodowych
Sposób funkcjonowania sieci bezprzewodowych określany jest przez grupę standardów IEEE 802.11. Najistotniejsze dla nas będą: 802.11a/b/g.
Ich opis przedstawia poniższa tabelka. Standardową częstotliwością pracy urządzeń s ieci bezprzewodowych jest 2.4GHz, często spotyka się
również częstotliwości 5GHz.
Nazwa
Szybkości
(Mb/s)
802.11
802.11a
1, 2
6, 9, 12, 18, 24, 36, 48, 54
Pasmo
częstotliwości
(GHz)
2,4
5
802.11b
1, 2, 5.5, 11
2,4
802.11g
1, 2, 5.5, 6, 9, 11, 12, 18, 24,
36, 48, 54
2,4
802.11n
100, 150, 300, 450, 600
2,4 lub 5
802.11ac
433, 867, 1300, 1733, ..., 6928
2,4 lub 5
Uwagi
Pierwszy standard czasami określany jako 802.1y
Publikacja 1999, urządzenia w 2001
Rozszerzenie 802.1y do pracy z prędkością 5.5 oraz 11 Mb/s (publikacja
1999)
Zgodny w dół z 802.11b, 2003
Wyższe wymagania co do prędkości na rynku od 2006, max. 4 jednoczesne
kanały w trybie MIMO
Wyższe wymagania co do prędkości na rynku od 2012, max. 8
jednoczesnych kanałów w trybie MIMO
Obecnie stosowane urządzenia najczęściej spełniają kilka z powyższych standardów, w celu zapewnienia możliwości pracy w różnych z nich. To
co jest zaletą sieci bezprzewodowych – posługiwanie się falami radiowymi jako medium transmisji – jest zarazem jego największym
zagrożeniem. Nie wymagane jest bowiem ustanowienie bezpośredniego połączenia (przewodowego), aby uzyskać możliwość wymiany danych z
siecią. Fale radiowe nadawane przez urządzenia bezprzewodowe, może odebrać każdy odbiornik znajdujący się w ich zasięgu – także ten
nieuprawniony. Wymiana danych może przebiegać na kilka sposobów : pomiędzy komputerem a punktem dostępowym (access point),
pomiędzy dwoma punktami dostępowymi, lub pomiędzy komputerami bez pośrednictwa punktu dostępowego (taka komunikacja nosi nazwę ad
hoc). Sieć bezprzewodowa komunikuje się w pewnym kanale o precyzyjnym paśmie częstotliwości, ma nadaną nazwę SSID (Service Set
Identifier), oraz sprecyzowany standard zabezpieczeń. To wszystko może sprawiać wrażenie pewnego poziomu bezpieczeństwa, jednak
zastanówmy się jakie zagrożenia mogą czyhać na taką sieć? Przede wszystkim obszar, w którym możemy uzyskać dostęp jest niesprecyzowany.
Mieszkając w bloku o cienkich ścianach, sąsiad z mieszkania obok może mieć swobodny dostęp do używanego przez nas access -pointa. Jednak
nieuprawniony dostęp może uzyskać ktoś całkowicie obcy, osoba przypadkowa, która przykładowo znalazła się w okolicy z laptopem. Mało
prawdopodobne? A jednak coraz popularniejszym „hobby” staje się polowanie na niezabezpieczone sieci bezprzewod owe. Takie poszukiwania
noszą nazwę wardriving (ang. Wireless Access Revolution Driving) – polegające na jeżdżeniu po mieście samochodem z urządzeniem
wyszukującym potencjalne cele ataku (np laptop lub PDA). Wyróżnia się także tzw. warchalking, polegający na wyszukaniu sieci i oznaczeniu
kredą na ścianie budynku poziomu jej zabezpieczeń, lub ich całkowitego braku. Bardzo często access pointy pozostawione są bez hasła
administratora (lub z niezmienionym hasłem domyślnym), umożliwiając zmianę konfiguracji. Zd arza się również, że udostępniana sieć nie
posiada żadnej kontroli dostępu i każdy może z niej korzystać. Wymienione zagrożenia mogą doprowadzić do przechwycenia danych, ataku DoS
(odmowa usługi) itp. Stosując odpowiednie techniki zabezpieczeń, możemy te d ziałania utrudnić, a często nawet uniemożliwić.
Zabezpieczanie sieci bezprzewodowych
Podstawowym działaniem, od którego zaczniemy usuwanie luk w bezpieczeństwie, jest zapewnienie odpowiednich haseł. Chodzi o hasło
administracyjne access pointa oraz kod wy magany aby uzyskać dostęp do sieci (szyfrowanie WEP). Jest jeszcze jedna podstawowa czynność
jaką powinniśmy wykonać – lista adresów sprzętowych (tzw. adresów MAC), które są upoważnione do podłączenia się do sieci. Funkcje te
uruchamiane są na urządzeniu d ostępowym, zatem o tym jak dokładnie należy to wykonać dowiemy się z instrukcji obsługi. Szyfrowanie WEP
(ang. Wired Equivalent Privacy) powstało by zapewnić sieciom bezprzewodowym poziom bezpieczeństwa porównywalny jak dla ich
przewodowych odpowiedników. Szybko jednak się okazało, że szyfrowanie takie (początkowo 40 bitowym kluczem, później 104 bitowym), jest
niezwykle łatwe do złamania. Jednak jest to podniesienie „poprzeczki” bezpieczeństwa nieco wyżej, co powinno uchronić nas przed
przypadkowymi intruzami. Włączmy zatem WEP jeśli to możliwe ze 104 bitowym kluczem (uzależnione to będzie od sprzętu jakim
dysponujemy). Następnie czeka nas skonfigurowanie systemu, aby obsługiwał takie szyfrowanie. Otwórzmy Połączenia sieciowe, znajdziemy
je w Panelu sterowania, z menu wyświetlonego po kliknięciu prawym klawiszem myszy na ikonę urządzenia sieci bezprzewodowej,
wybieramy Właściwości. W zakładce Sieci bezprzewodowe, wybierzmy z listy sieci preferowanych, tę której mamy zamiar używać i
wybierzmy opcję Właściwości.
……………………………………………………………………………………………………………………………………………………………………
SO Sieci bezprzewodowe i zdalny dostęp
ZSM Świdnica Źródło: Internet
1/5
Pokaże się okno dialogowe, w którym w ybieramy z listy Uwierzytelnienie sieciowe opcję Otwarte, natomiast z listy poniżej wybieramy
WEP. Należy również odznaczyć Otrzymuję klucz automatycznie i wpisać hasło, jakie skonfigurowaliśmy na urządzeniu dostępowym.
Konfigurowanie WEP jest nieco odmien ne w różnych wersjach systemu Windows XP. Czasem nie mamy aż tylu opcji do wyboru i wystarczy
jedynie włączyć Szyfrowanie danych oraz Uwierzytelnienie sieciowe . Reszta parametrów jest analogiczna jak powyżej zaprezentowana.
Trzeba też pamiętać by ustawienia klucza szyfrowania były zgodne z tymi, jakie ustawiliśmy na Access Poincie. Akceptując wprowadzone
zmiany, podnieśliśmy nieco poziom bezpieczeństwa. Jednak WEP jest już starym sposobem szyfrowania, który sprawny hacker jest w stanie
szybko obejść. Jeżeli WEP jest jedyną techniką zabezpieczającą, jaką udostępnia nam urządzenie dost ępowe, jedyne co możemy zrobić to
pamiętać by często zmieniać klucz szyfrujący. Aktualnie dostępne urządzenia, mają jednak silniejsze mechanizmy obrony przed intruzami. Takim
zabezpieczeniem jest WPA (ang. WiFi Protected Access). Wykorzystuje ono bardziej zaawansowane protokoły takie jak TKIP (ang. Temporal Key
Integrity Protocol), który jest usprawnieniem mało skutecznego WEP -a. Jednak WPA zawiera również inne protokoły takie jak 802.1x,
uwierzytelnienie za pomocą serwera RADIUS. Powstał jednak jeszcze bar dziej zaawansowany standard – WPA2, który określany jest też jako
IEEE 802.11i. Jedną z głównych zalet WPA2 jest dynamiczne ustalanie kluczy szyfrujących, które mogą mieć długość nawet 128 bitów. Jeśli
urządzenie dostępowe pozwala na wykorzystanie takiego trybu, to jego obsługę w systemie Windows XP, ustawia się podobnie do
wspomnianego wcześniej WEP -a. Z tą różnicą, że jako Uwierzytelnienie sieciowe wybieramy z listy opcję WPA-PSK, jako Szyfrowanie
danych wybieramy TKIP oraz wprowadzamy właściwy klucz szyf rujący.
……………………………………………………………………………………………………………………………………………………………………
SO Sieci bezprzewodowe i zdalny dostęp
ZSM Świdnica Źródło: Internet
2/5
Mamy już ustaloną listę d opuszczalnych adresów MAC, jakie obsługuje Access Point, hasło administratora oraz zaawansowane techniki
szyfrowania i uwierzytelniania. Zatem możemy spać spokojnie? Oczywiście... że nie! Tak naprawdę, powyższe techniki są skuteczne i
wartościowe, jednak uchronią nas jedynie przed początkującymi hackerami, jeżeli jednak napastnik będzie zdeterminowany, to obejście
powyższych zabezpieczeń nie będzie dla niego niewykonalne. Adresy MAC można podrobić a nawet dobre szyfry WPA złamać. Czy zatem nie ma
możliwości w sposób całkowicie bezpieczny korzystać z sieci bezprzewodowych? Otóż jest rozwiązanie tego problemu. Jeżeli zastosujemy tzw.
tunelowanie, możemy wykorzystując sieć bezprzewodową jako medium transmisji, stworzyć szyfrowany tunel transmisji danych. Służą do tego
zaawansowane i dobrze dopracowane protokoły, takie jak: IPSec, PPTP czy L2TP.
Protokół
IPSec
PPTP
L2TP
Opis
Zbiór protokołów zapewniających bezpieczne, szyfrowane przesyłanie pakietów IP
Point-to-Point Tunneling Protocol - powszechnie stosowany przez systemy Windows protokół połączeń tunelowych
Layer 2 Tunneling Protocol - protokół działający w warstwie drugiej, zapewniający za pomocą tunelu szyfrowaną wymianę danych
Dostęp zdalny i Wirtualne Sieci Prywatne (VPN)
Stwórzmy zatem tunel. Jest to bardzo pożyteczny mechanizm o licznych zastosowaniach. Pozwala na bezpieczne przesyłanie danych,
pochodzących z transmisji, które są podatne na zagrożenia. Tunelowanie polega na enkapsulacji – czyli „opakowania” pakietów jednego
protokołu, za pomocą innego protokołu. Może trudno to sobie z początku przyswoić, dlatego wyobraźmy sobie dwa hosty, połączone siecią.
Tunelowanie jest czymś w rodzaju wirtualnego kanału transmisji danych, pomiędzy tymi dwoma punktami, za pośrednictwem medium
łączącego oba komputery. Tutaj pojawia się zastosowanie dla nas. Wykorzystując sieć bezprzewodową (potencjalnie niebezpieczną), zrobimy
tunel, przez którą dane będą przesyłane w postaci szyfrowanej silnymi technikami kryptograficznymi. Tunelowanie można zrealizować na wiele
sposobów, wykorzystując różne protokoły. Posłużmy się narzędziami dostępnymi w Windows XP i stwórzmy wirtualną sieć prywatną VPN. Jest
to połączenie dwóch prywatnych sieci, za pomocą sieci publicznej (Internetu). Szyfrowanie będzie realizowane w ramach protoko łu PPTP. Aby
skonfigurować VPN, musimy skorzystać z konta administratora. W folderze Połączenia sieciowe wybieramy Nowe połączenie, uruchamiając
w ten sposób kreatora, który przeprowadzi nas przez proces tworzenia sieci VPN. Zaznaczamy opcję Konfiguruj połączenie zaawansowane.
……………………………………………………………………………………………………………………………………………………………………
SO Sieci bezprzewodowe i zdalny dostęp
ZSM Świdnica Źródło: Internet
3/5
Przechodząc do kolejnego kroku przyciskiem Dalej zaznaczamy opcję Zaakceptuj połączenia przychodzące . Na kolejnym etapie, na karcie
Połączenia przychodzące wirtualnej sieci prywatnej (VPN) , zaznaczamy opcję Zezwalaj na wirtualne połączenia prywatne .
Następnie z listy użytkowników, musimy wybrać tych, którym chcemy pozwolić na korzystanie z VPN. Bądźmy oszczędni, zgodnie z zasadą
przyznawania tylko tylu przywilejów ile jest konieczne. Jeżeli któreś z kont nie będzie potrzebowało dostępu do VPN, nie uwzględniajmy go.
Możemy również utworzyć nowe, przeznaczone dla właśnie konfigurowanej usługi. W tym celu musielibyśmy kliknąć przycisk Dodaj.
Kiedy już wybraliśmy uprawnionych użytkowników, przechodzimy dalej aż do końcowego ekranu kreatora. Folder Połączenia sieciowe
zawiera teraz nowy element połączenia przychodzące go. Kliknijmy prawym klawiszem myszy na tę ikonę i z menu wybierzmy Właściwości.
Ukaże się okno z ustawieniami połączenia, w zakładce Użytkownicy zaznaczmy opcję Wymagaj od wszystkich użytkowników ochrony
swoich haseł i danych, zapewni ona bezpieczne połąc zenie VPN. Aby teraz wykorzystać utworzone połączenie przychodzące, uruchamiamy
kreatora nowego połączenia sieciowego analogicznie jak robiliśmy to powyżej. Z karty Typ połączenia sieciowego wybieramy Połącz z
siecią w miejscu pracy. Przechodząc przez kolejne etapy, wybieramy nazwę połączenia a na karcie Sieć publiczna, zaznaczamy opcję
odpowiednią dla nas – jeśli dysponujemy stałym łączem będzie nią: Nie wybieraj połączenia początkowego , natomiast jeśli łączymy się za
pomocą połączenia dial-up (modem), wybierzmy: Automatycznie wybierz to połączenie początkowe . W ostatnim etapie, podajemy adres
IP lub nazwę hosta docelowego i kończymy pracę kreatora. Teraz dysponujemy połączeniem VPN, które uruchamiamy podobnie jak połączenie
dial-up, a podłączone zasoby będ ziemy mogli przeglądać za pomocą folderu Moje miejsca sieciowe .
……………………………………………………………………………………………………………………………………………………………………
SO Sieci bezprzewodowe i zdalny dostęp
ZSM Świdnica Źródło: Internet
4/5
……………………………………………………………………………………………………………………………………………………………………
SO Sieci bezprzewodowe i zdalny dostęp
ZSM Świdnica Źródło: Internet
5/5