Sieci bezprzewodowe i zdalny dostęp
Transkrypt
Sieci bezprzewodowe i zdalny dostęp
Sieci bezprzewodowe i zdalny dostęp Wstęp Sieci bezprzewodowe stają się coraz bardziej popularne. Możemy je spotkać praktycznie wszędzie – w hotelach, centrach handlowych, na uczelniach ale także coraz częściej w prywatnych domach. Wraz ze wzrostem powszec hności ich stosowania, coraz ważniejszy jest aspekt bezpieczeństwa tej technologii. Czy jednak będąc użytkownikiem sieci bezprzewodowych, możemy skutecznie uchronić się przed zagrożeniami? Na pewno możemy to uczynić lepiej lub gorzej. Podstawowe zagadnien ia dotyczące sieci bezprzewodowych Sposób funkcjonowania sieci bezprzewodowych określany jest przez grupę standardów IEEE 802.11. Najistotniejsze dla nas będą: 802.11a/b/g. Ich opis przedstawia poniższa tabelka. Standardową częstotliwością pracy urządzeń s ieci bezprzewodowych jest 2.4GHz, często spotyka się również częstotliwości 5GHz. Nazwa Szybkości (Mb/s) 802.11 802.11a 1, 2 6, 9, 12, 18, 24, 36, 48, 54 Pasmo częstotliwości (GHz) 2,4 5 802.11b 1, 2, 5.5, 11 2,4 802.11g 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, 54 2,4 802.11n 100, 150, 300, 450, 600 2,4 lub 5 802.11ac 433, 867, 1300, 1733, ..., 6928 2,4 lub 5 Uwagi Pierwszy standard czasami określany jako 802.1y Publikacja 1999, urządzenia w 2001 Rozszerzenie 802.1y do pracy z prędkością 5.5 oraz 11 Mb/s (publikacja 1999) Zgodny w dół z 802.11b, 2003 Wyższe wymagania co do prędkości na rynku od 2006, max. 4 jednoczesne kanały w trybie MIMO Wyższe wymagania co do prędkości na rynku od 2012, max. 8 jednoczesnych kanałów w trybie MIMO Obecnie stosowane urządzenia najczęściej spełniają kilka z powyższych standardów, w celu zapewnienia możliwości pracy w różnych z nich. To co jest zaletą sieci bezprzewodowych – posługiwanie się falami radiowymi jako medium transmisji – jest zarazem jego największym zagrożeniem. Nie wymagane jest bowiem ustanowienie bezpośredniego połączenia (przewodowego), aby uzyskać możliwość wymiany danych z siecią. Fale radiowe nadawane przez urządzenia bezprzewodowe, może odebrać każdy odbiornik znajdujący się w ich zasięgu – także ten nieuprawniony. Wymiana danych może przebiegać na kilka sposobów : pomiędzy komputerem a punktem dostępowym (access point), pomiędzy dwoma punktami dostępowymi, lub pomiędzy komputerami bez pośrednictwa punktu dostępowego (taka komunikacja nosi nazwę ad hoc). Sieć bezprzewodowa komunikuje się w pewnym kanale o precyzyjnym paśmie częstotliwości, ma nadaną nazwę SSID (Service Set Identifier), oraz sprecyzowany standard zabezpieczeń. To wszystko może sprawiać wrażenie pewnego poziomu bezpieczeństwa, jednak zastanówmy się jakie zagrożenia mogą czyhać na taką sieć? Przede wszystkim obszar, w którym możemy uzyskać dostęp jest niesprecyzowany. Mieszkając w bloku o cienkich ścianach, sąsiad z mieszkania obok może mieć swobodny dostęp do używanego przez nas access -pointa. Jednak nieuprawniony dostęp może uzyskać ktoś całkowicie obcy, osoba przypadkowa, która przykładowo znalazła się w okolicy z laptopem. Mało prawdopodobne? A jednak coraz popularniejszym „hobby” staje się polowanie na niezabezpieczone sieci bezprzewod owe. Takie poszukiwania noszą nazwę wardriving (ang. Wireless Access Revolution Driving) – polegające na jeżdżeniu po mieście samochodem z urządzeniem wyszukującym potencjalne cele ataku (np laptop lub PDA). Wyróżnia się także tzw. warchalking, polegający na wyszukaniu sieci i oznaczeniu kredą na ścianie budynku poziomu jej zabezpieczeń, lub ich całkowitego braku. Bardzo często access pointy pozostawione są bez hasła administratora (lub z niezmienionym hasłem domyślnym), umożliwiając zmianę konfiguracji. Zd arza się również, że udostępniana sieć nie posiada żadnej kontroli dostępu i każdy może z niej korzystać. Wymienione zagrożenia mogą doprowadzić do przechwycenia danych, ataku DoS (odmowa usługi) itp. Stosując odpowiednie techniki zabezpieczeń, możemy te d ziałania utrudnić, a często nawet uniemożliwić. Zabezpieczanie sieci bezprzewodowych Podstawowym działaniem, od którego zaczniemy usuwanie luk w bezpieczeństwie, jest zapewnienie odpowiednich haseł. Chodzi o hasło administracyjne access pointa oraz kod wy magany aby uzyskać dostęp do sieci (szyfrowanie WEP). Jest jeszcze jedna podstawowa czynność jaką powinniśmy wykonać – lista adresów sprzętowych (tzw. adresów MAC), które są upoważnione do podłączenia się do sieci. Funkcje te uruchamiane są na urządzeniu d ostępowym, zatem o tym jak dokładnie należy to wykonać dowiemy się z instrukcji obsługi. Szyfrowanie WEP (ang. Wired Equivalent Privacy) powstało by zapewnić sieciom bezprzewodowym poziom bezpieczeństwa porównywalny jak dla ich przewodowych odpowiedników. Szybko jednak się okazało, że szyfrowanie takie (początkowo 40 bitowym kluczem, później 104 bitowym), jest niezwykle łatwe do złamania. Jednak jest to podniesienie „poprzeczki” bezpieczeństwa nieco wyżej, co powinno uchronić nas przed przypadkowymi intruzami. Włączmy zatem WEP jeśli to możliwe ze 104 bitowym kluczem (uzależnione to będzie od sprzętu jakim dysponujemy). Następnie czeka nas skonfigurowanie systemu, aby obsługiwał takie szyfrowanie. Otwórzmy Połączenia sieciowe, znajdziemy je w Panelu sterowania, z menu wyświetlonego po kliknięciu prawym klawiszem myszy na ikonę urządzenia sieci bezprzewodowej, wybieramy Właściwości. W zakładce Sieci bezprzewodowe, wybierzmy z listy sieci preferowanych, tę której mamy zamiar używać i wybierzmy opcję Właściwości. …………………………………………………………………………………………………………………………………………………………………… SO Sieci bezprzewodowe i zdalny dostęp ZSM Świdnica Źródło: Internet 1/5 Pokaże się okno dialogowe, w którym w ybieramy z listy Uwierzytelnienie sieciowe opcję Otwarte, natomiast z listy poniżej wybieramy WEP. Należy również odznaczyć Otrzymuję klucz automatycznie i wpisać hasło, jakie skonfigurowaliśmy na urządzeniu dostępowym. Konfigurowanie WEP jest nieco odmien ne w różnych wersjach systemu Windows XP. Czasem nie mamy aż tylu opcji do wyboru i wystarczy jedynie włączyć Szyfrowanie danych oraz Uwierzytelnienie sieciowe . Reszta parametrów jest analogiczna jak powyżej zaprezentowana. Trzeba też pamiętać by ustawienia klucza szyfrowania były zgodne z tymi, jakie ustawiliśmy na Access Poincie. Akceptując wprowadzone zmiany, podnieśliśmy nieco poziom bezpieczeństwa. Jednak WEP jest już starym sposobem szyfrowania, który sprawny hacker jest w stanie szybko obejść. Jeżeli WEP jest jedyną techniką zabezpieczającą, jaką udostępnia nam urządzenie dost ępowe, jedyne co możemy zrobić to pamiętać by często zmieniać klucz szyfrujący. Aktualnie dostępne urządzenia, mają jednak silniejsze mechanizmy obrony przed intruzami. Takim zabezpieczeniem jest WPA (ang. WiFi Protected Access). Wykorzystuje ono bardziej zaawansowane protokoły takie jak TKIP (ang. Temporal Key Integrity Protocol), który jest usprawnieniem mało skutecznego WEP -a. Jednak WPA zawiera również inne protokoły takie jak 802.1x, uwierzytelnienie za pomocą serwera RADIUS. Powstał jednak jeszcze bar dziej zaawansowany standard – WPA2, który określany jest też jako IEEE 802.11i. Jedną z głównych zalet WPA2 jest dynamiczne ustalanie kluczy szyfrujących, które mogą mieć długość nawet 128 bitów. Jeśli urządzenie dostępowe pozwala na wykorzystanie takiego trybu, to jego obsługę w systemie Windows XP, ustawia się podobnie do wspomnianego wcześniej WEP -a. Z tą różnicą, że jako Uwierzytelnienie sieciowe wybieramy z listy opcję WPA-PSK, jako Szyfrowanie danych wybieramy TKIP oraz wprowadzamy właściwy klucz szyf rujący. …………………………………………………………………………………………………………………………………………………………………… SO Sieci bezprzewodowe i zdalny dostęp ZSM Świdnica Źródło: Internet 2/5 Mamy już ustaloną listę d opuszczalnych adresów MAC, jakie obsługuje Access Point, hasło administratora oraz zaawansowane techniki szyfrowania i uwierzytelniania. Zatem możemy spać spokojnie? Oczywiście... że nie! Tak naprawdę, powyższe techniki są skuteczne i wartościowe, jednak uchronią nas jedynie przed początkującymi hackerami, jeżeli jednak napastnik będzie zdeterminowany, to obejście powyższych zabezpieczeń nie będzie dla niego niewykonalne. Adresy MAC można podrobić a nawet dobre szyfry WPA złamać. Czy zatem nie ma możliwości w sposób całkowicie bezpieczny korzystać z sieci bezprzewodowych? Otóż jest rozwiązanie tego problemu. Jeżeli zastosujemy tzw. tunelowanie, możemy wykorzystując sieć bezprzewodową jako medium transmisji, stworzyć szyfrowany tunel transmisji danych. Służą do tego zaawansowane i dobrze dopracowane protokoły, takie jak: IPSec, PPTP czy L2TP. Protokół IPSec PPTP L2TP Opis Zbiór protokołów zapewniających bezpieczne, szyfrowane przesyłanie pakietów IP Point-to-Point Tunneling Protocol - powszechnie stosowany przez systemy Windows protokół połączeń tunelowych Layer 2 Tunneling Protocol - protokół działający w warstwie drugiej, zapewniający za pomocą tunelu szyfrowaną wymianę danych Dostęp zdalny i Wirtualne Sieci Prywatne (VPN) Stwórzmy zatem tunel. Jest to bardzo pożyteczny mechanizm o licznych zastosowaniach. Pozwala na bezpieczne przesyłanie danych, pochodzących z transmisji, które są podatne na zagrożenia. Tunelowanie polega na enkapsulacji – czyli „opakowania” pakietów jednego protokołu, za pomocą innego protokołu. Może trudno to sobie z początku przyswoić, dlatego wyobraźmy sobie dwa hosty, połączone siecią. Tunelowanie jest czymś w rodzaju wirtualnego kanału transmisji danych, pomiędzy tymi dwoma punktami, za pośrednictwem medium łączącego oba komputery. Tutaj pojawia się zastosowanie dla nas. Wykorzystując sieć bezprzewodową (potencjalnie niebezpieczną), zrobimy tunel, przez którą dane będą przesyłane w postaci szyfrowanej silnymi technikami kryptograficznymi. Tunelowanie można zrealizować na wiele sposobów, wykorzystując różne protokoły. Posłużmy się narzędziami dostępnymi w Windows XP i stwórzmy wirtualną sieć prywatną VPN. Jest to połączenie dwóch prywatnych sieci, za pomocą sieci publicznej (Internetu). Szyfrowanie będzie realizowane w ramach protoko łu PPTP. Aby skonfigurować VPN, musimy skorzystać z konta administratora. W folderze Połączenia sieciowe wybieramy Nowe połączenie, uruchamiając w ten sposób kreatora, który przeprowadzi nas przez proces tworzenia sieci VPN. Zaznaczamy opcję Konfiguruj połączenie zaawansowane. …………………………………………………………………………………………………………………………………………………………………… SO Sieci bezprzewodowe i zdalny dostęp ZSM Świdnica Źródło: Internet 3/5 Przechodząc do kolejnego kroku przyciskiem Dalej zaznaczamy opcję Zaakceptuj połączenia przychodzące . Na kolejnym etapie, na karcie Połączenia przychodzące wirtualnej sieci prywatnej (VPN) , zaznaczamy opcję Zezwalaj na wirtualne połączenia prywatne . Następnie z listy użytkowników, musimy wybrać tych, którym chcemy pozwolić na korzystanie z VPN. Bądźmy oszczędni, zgodnie z zasadą przyznawania tylko tylu przywilejów ile jest konieczne. Jeżeli któreś z kont nie będzie potrzebowało dostępu do VPN, nie uwzględniajmy go. Możemy również utworzyć nowe, przeznaczone dla właśnie konfigurowanej usługi. W tym celu musielibyśmy kliknąć przycisk Dodaj. Kiedy już wybraliśmy uprawnionych użytkowników, przechodzimy dalej aż do końcowego ekranu kreatora. Folder Połączenia sieciowe zawiera teraz nowy element połączenia przychodzące go. Kliknijmy prawym klawiszem myszy na tę ikonę i z menu wybierzmy Właściwości. Ukaże się okno z ustawieniami połączenia, w zakładce Użytkownicy zaznaczmy opcję Wymagaj od wszystkich użytkowników ochrony swoich haseł i danych, zapewni ona bezpieczne połąc zenie VPN. Aby teraz wykorzystać utworzone połączenie przychodzące, uruchamiamy kreatora nowego połączenia sieciowego analogicznie jak robiliśmy to powyżej. Z karty Typ połączenia sieciowego wybieramy Połącz z siecią w miejscu pracy. Przechodząc przez kolejne etapy, wybieramy nazwę połączenia a na karcie Sieć publiczna, zaznaczamy opcję odpowiednią dla nas – jeśli dysponujemy stałym łączem będzie nią: Nie wybieraj połączenia początkowego , natomiast jeśli łączymy się za pomocą połączenia dial-up (modem), wybierzmy: Automatycznie wybierz to połączenie początkowe . W ostatnim etapie, podajemy adres IP lub nazwę hosta docelowego i kończymy pracę kreatora. Teraz dysponujemy połączeniem VPN, które uruchamiamy podobnie jak połączenie dial-up, a podłączone zasoby będ ziemy mogli przeglądać za pomocą folderu Moje miejsca sieciowe . …………………………………………………………………………………………………………………………………………………………………… SO Sieci bezprzewodowe i zdalny dostęp ZSM Świdnica Źródło: Internet 4/5 …………………………………………………………………………………………………………………………………………………………………… SO Sieci bezprzewodowe i zdalny dostęp ZSM Świdnica Źródło: Internet 5/5