Wireless LAN zaštita

[Bøgíñjå]

Nisam primijetila da imate ovu temu, a za neke korsnike može biti veoma korsnina, da nauče kako najbolje zaštiti svoj WLAN.

Postoji nekoliko načina da zaštitimo WLAN od neovlašćenog koriščenja, tako da je topic konstruisan sa ciljem upoznavanja i izbora adekvatne zaštite WLAN-a.

[Bøgíñjå]

WEP


WEP je skraćenica od "Wired Equivalent Privacy" ili "Wireless Encryption Protocol", a predstavlja sigurnosni protokol za bežične mreže utvrđene standardom 802.11b. Od WEP protokola se očekuje stupanj sigurnosti jednak onom kod tradicionalnih ožičenih lokalnih mreža.

WEP djeluje na dva donja sloja OSI modela – na fizičkom i na sloju veze i temelji se na enkripciji podataka između krajnjih točaka. WEP za funkcioniranje koristi različite veličine ključeva, standardnih duljina 64-, 128- i 256 bita. Što je ključ duži to ga je teže probiti, no i samim je računalima potrebno više vremena kako bi dekodirali podatke koji se prenose. Tajni ključ je poznat samo mobilnim stanicama i pristupnoj točki na koju se spajaju. Uz pomoć tajnog ključa paketi se kriptiraju prije slanja, a dodatno se vrši provjera integriteta kako bi paket na odredište stigao nepromijenjen.

Za enkripciju se koristi RC4 sustav zaštite koju je osmislio američki stručnjak Ronald Rivest, 1987. godine. RC4 proširuje kratak niz znakova u beskonačno dugačak pseudo nasumičan niz koji pošiljatelj pomoću funkcije XOR i originalne poruke pretvara u kriptiranu poruku koju šalje primatelju. Kako primatelj posjeduje isti ključ, prilikom preuzimanja on ga iskorištava te time dobiva identičan niz znakova koji uz pomoć XOR funkcije dekriptira i dobiva originalnu poruku.

Praksa je, nažalost, pokazala da WEP ipak ne nudi očekivanu razinu sigurnosti
bežičnih lokalnih mreža, a velika količina danas dostupnog softvera omogućuje da i manje iskusni korisnici otkriju ključ po kojem se podaci kriptiraju i u vrlo kratkom vremenu dođu do tuđih podataka. 2005. godine je tim iz FBI-ja demonstrirao kako se korištenjem softvera dostupnog na Internetu može probiti WEP enkripcija u manje od triminute. Probijanje dužih ključeva zahtjeva više presretnutih paketa, no aktivnim napadima moguće je stimulirati dovoljnu količinu paketa da bi se otkrio ključ.

[Bøgíñjå]

WPA

Skraćeno od "WiFi Protected Access", ovaj sustav zaštite sastavni je dio 802.11i
standarda. Radi se o sustavu za uspostavljanje sigurnih bežičnih mreža čija je svrha da zamijeni manje siguran WEP protokol. WPA uključuje mogućnost enkripcije podataka i autentifikacije korisnika.

Podaci su kriptirani RC4 sustavom sa 128-bitnim ključem i 48-bitnim inicijalizacijskim vektorom. Prednost nad WEP standardnom je u korištenju TKIP protokola, koji dinamički mijenja ključeve za vrijeme korištenja sustava. Kombinacijom dugačkog inicijalizacijskog vektora i TKIP protokola sustav se može lagano obraniti od napada kakvi se koriste za otkrivanje ključa primjenom WEP protokola.


Uz spomenuta unaprjeđenja, WPA protokol također donosi i sigurniji sustav provjere identiteta u odnosu na CRC koji se koristi kod WEP protokola. Naime, kod CRC-a napadač može promijeniti sastav poruke koja se šalje i vratiti vrijednost CRC-a na originalnu, čak i bez da je ključ, kojim je kriptirana poruka, poznat.

Uz pomoć navedenih tehnologija, probijanje u bežični mrežni sustav zaštićen WPA protokolom je relativno teško. „Michael“ algoritam je najsloženiji algoritam koji su WPA dizajneri mogli napraviti, a da je kompatibilan sa starijim mrežnim karticama. Zbog neizbježne slabosti tog algoritma, WPA u sebi ima ugrađene protumjere u vidu specijalnog mehanizma koji blokira pristup napadaču ako sustav primijeti pokušaj probijanja TKIP protokola.

Kako je RC4 sustav kriptiranja podataka relativno star, a njegovo probijanje ne
predstavlja veliki napor hakerima, razvijen je WPA 2 protokol koji koristi napredni sustav kriptiranja zvan AES-CCMP.

[Bøgíñjå]

WPA2

Glavna razlika između WPA i WPA 2 protokola je u korištenju naprednog AES-CCMP algoritma. CCMP je skraćenica od engleskog "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol", a temelji se na "naprednom enkripcijskom standardu", tj. AES protokolu.
Od 13. ožujka 2006. godine sva mrežna oprema koja želi dobiti certifikat "WiFi
Certified" mora podržavati ovaj algoritam.


Valja spomenuti da WPA i WPA 2 mogu raditi u dva načina rada: Enterprise i PSK. Osnovna razlika je u činjenici da Enterprise način rada zahtijeva prisutnost servera za autentifikaciju, koji standardno koristi RADIUS protokol za autentifikaciju i distribuciju ključeva. Zbog toga postoji mogućnost centralizacije ključeva, no ovakve mogućnosti nisu namijenjene kućnim korisnicima (zbog investicije u RADIUS server). Pre-Shared Key ne zahtjeva server za autentifikaciju jer koristi tajni ključ koji korisnik odredi. Svaki korisnik mora odrediti lozinku za pristup mreži koja mora biti duža od 8, a kraća od 63 ASCII znaka ili može odrediti 64 heksadecimalne znamenke (256 bita).

[Bøgíñjå]

WPA-PSK

[Bøgíñjå]

WPA2-PSK

[Bøgíñjå]

Ono što bih ja kao dodatnu zaštitu WLAN-a preporučila je MAC (Media Access Control) filter, pa biste na taj način omogućili pristup određenim uređajima, jer svi imaju jedinstvenu MAC adresu. Naravno da je moguća promjena MAC adrese, pa ukoliko bi hacker otkrio (a to vam bila jedina zaština) spisak dozvoljenih MAC adresa bez problema bi pristupio vašoj mreži, zato vam i savjetujem da je koristite kao dodatnu zaštitu.



PS: Podražumijeva se i promjena passworda na routeru