PC Zenith -> Software -> Tekstovi -> Metode zaštite bežičnih mreža

METODE ZAŠTITE BEŽIČNIH MREŽA

 

I.             UVOD

Ulaskom u dvadeset i prvo stoljeće ulazimo u doba u kojem će se podaci prenositi bežično, jednostavno i lagano, te bez debelih kablova i klimavih terminala. Bežične tehnologije se, kao i ostatak informatičke industrije, strelovito razvijaju, dolaze novi standardi, usvajaju se novi, moderniji načini proizvodnje koji omogućuju sve veće brzine i domet uz povoljniju cijenu. Sukladno ovom rastu, u ne tako dalekoj budućnosti možemo očekivati puno više bežičnih sustava, od malih kućnih, preko uredskih, pa sve do bežično povezanih velikih tvornica i tehnoloških parkova.

Termin "bežično" se u svojem temeljnom značenju odnosi na bilo koji oblik električne ili ekektroničke operacije bez uporabe fizičkog kabla koji bi spajao dvije strane koje su u procesu komunikacije. Udaljenosti se mogu mjeriti u metrima (primjerice daljinski upravljač za televizor), pa sve do nekoliko tisuća ili čak milijuna kilometara kada se radi o radio komunikaciji (npr. sateliti).

Postoji nekoliko osnovnih bežičnih sustava koji se danas koriste u svijetu:

GSM (Global System for Mobile Communications) - GSM je u svijetu najrašireniji standard za mobilnu telefoniju čije usluge koristi preko dvije milijarde korisnika u više od 212 država i teritorija diljem svijeta. Mreža funkcionira u ukupno četiri frekvencijska pojasa, 850, 900, 1800 i 1900 MHz.

Wireless LAN - WLAN je kratica za engleski naziv "Wireless Local Area Network" i označava lokalnu mrežu računala (LAN) koja se zasniva na bežičnim tehnologijama, a pomoću kojih računala međusobno razmjenjuju informacije.
 Wi-Fi - Wi-Fi (skraćeno od engl. Wireless Fidelity) je danas jedna od najraširenijih inačica WLAN-a, a registrirani je znak Wi-Fi Alliance-a. Trenutačno postoje tri standarda odobrena od strane IEEE-a: 802.11a, 802.11b i 802.11g.

Postoji još nekoliko razvijenih bežičnih sustava kao što je PCS, D-AMPS ili Fixed Wireless Data, no s obzirom da će se u ovom tekstu obrađivati WLAN sustavi i mogućnosti njihove zaštite, spomenute tehnologije nije potrebno dodatno opisivati.

II.           Kratka povijest Wireless LAN sustava

1970. godine na havajskom sveučilištu tim je stručnjaka, pod vodstvom dr. Normana Abramsona, razvio prvu bežičnu mrežu računala koristeći jeftine radio uređaje koji su tvorili mrežu nazvanu ALOHAnet. Ova dvosmjerna topologija oblika zvijezde je omogućavala da sustav od sedam računala smještenih na četiri otoka uspješno komunicira sa središnjim računalom na otoku Oahu bez upotrebe telefonske linije.

Sve do 80.-ih godina 20. stoljeća radilo se na eksperimentiranju i razvoju ove, tada potpuno nove tehnologije, tako da je prva generacija bežičnih modema razvijena na početku 80.-ih godina od strane amaterskih skupina. Oni su uspjeli dodati glasovni pojas u postojeće radio sustave koji su funkcionirali na malim udaljenostima (poput Walkie Talkie-a). Postizali su brzine prijenosa ispod 9600 bitova u sekundi. Druga generacija je uslijedila odmah nakon što je FCC (Federal Communications Commission) omogućio korištenje eksperimentalnih pojasa signala za civilne svrhe. Modemi ove generacije su omogućili prijenos od nekoliko stotina kbit-a po sekundi. Tek je treća generacija ciljala na kompatibilnost s postojećim LAN sustavima, kao i postizanje brzina mjerljivih u Mbit-ima u sekundi. Na razvoju proizvoda treće generacije je radilo nekoliko kompanija kako bi proizveli kompatibilne proizvode koji će donijeti brzine preko 1 Mbit-a u sekundi.

Međunarodna neprofitna organizacija IEEE (Institute of Electrical and Electronics Engineers) je počela 1991. godine raditi na novom standardu kojim bi se standardizirali bežični LAN sustavi i kojim bi se trebao odrediti smjer njihovog razvoja. Standard IEEE 802.11 (11 označava radnu grupu koja je na njemu radila) je svjetlo dana napokon ugledao 1997. godine, a propisivao je ove specifikacije:

·         frekvenciju rada od 2.4 do 2.5 GHz

·         tipičnu propusnost od 0.7 Mbit/s

·         max. prijenos podataka od 2 Mbit/s

·         domet unutar građevina ovisno o broju zidova i

·         domet na otvorenom od 75 metara

Danas se ovaj standard još naziva i 802.11 legacy (nasljedstvo, ostavština).

Veliki problem prvog WLAN hardvera je bio u vrlo visokoj cijenu, zbog čega je bio korišten samo na mjestima gdje je upotreba kablova za spajanje bila jako teška ili čak nemoguća (teški uvjeti u tvornicama, visoke temperature itd.) . Danas oprema ima daleko nižu cijenu, usvojeni su novi standardi koji propisuju puno veće brzine prijenosa i bolji signal, a novi standardi su stalno u razvoju. Dopune 802.11 standarda se označavaju malim slovima kao npr. 802.11a ili 802.11b. Aktualni standard nosi oznaku 802.11g, a za kolovoz 2008. godine IEEE grupa najavljuje novi, oznake 802.11n.

 

III.       WLAN arhitektura

Kao što LAN sustavi zahtjevaju da sva računala koja se žele povezati moraju posjedovati mrežnu karticu, tj. UTP utor, tako i WLAN zahtjeva da sustavi posjeduju bežičnu mrežnu karticu koja će osigurati komunikaciju s ostalim bežičnim jedinicama.

Ukratko, da bi WLAN sustav funkcionirao potrebno je imati pristupnu točku (engl. Access Point, skraćeno AP) i barem jednog klijenta. Pristupna točka služi za povezivanje više klijenata u jednu grupu, a putem žice je vezana na LAN komponente kao što je višeportni spojnik (eng. switch) ili usmjerivač (eng. router). U slučaju da su klijenti van dometa pristupne točke moguće je iskoristiti još jedan u tzv. WDS (Wireless Distribution System) sustav distribucije kod kojeg jedna pristupna točka ima ulogu ponavljača signala (eng. repeater), te na taj način povećava domet bežične mreže.

Bežični usmjerivač (wireless router) bismo mogli jednostavno opisati kao pristupnu točku sa funkcijom usmjerivača, a on nam omogućava da našu mrežu povežemo sa drugim mrežama bez potrebe za korištenjem standardnog žičanog usmjerivača. Bežični usmjerivač često ima ugrađen i switch (višeportni spojnik) sa jednom ili više pristupnih točaka, te na taj način omogućava da dijelove ožičene mreže povežemo sa bežičnom mrežom.

Na slici (1) možemo vidjeti primjer mreže u kojoj se kombinira ožičeni i bežični način komunikacije. Na switch ili hub su povezana stolna računala, serveri i mrežni printer s jedne strana i dvije pristupne točke s druge strane. Pristupne točke unutar svojeg dometa osiguravaju komunikaciju prijenosnih računala s ostatkom mrežnog sustava. Na ovaj način prijenosna računala mogu koristiti mrežne resurse (usluge servera, mrežnog printera, te pristup Internetu) s jednakim pravom kao što to mogu stolna računala spojena putem mrežnog kabela.

Slika 1 - Primjer WLAN sustava sa dvije pristupne točke

Ovo je bio primjer tzv. Bridge WLAN-a u kojem se bežičnom tehnologijom omogućava računalima da ostvaruju komunikaciju sa žicom povezanom mrežom. Postoji i Peer-to-peer (P2P) mreža koja omogućava ostvarenje bežične veze između dva računala (najčešće prijenosnih) bez upotrebe pristupne točke ili nekog drugog uređaja. Tako spojena računala mogu međusobno izmjenjivati podatke i dijeliti resurse.

IV.          Prednosti i mane WLAN arhitekture

Popularnosti WLAN mreža su u prvom redu zaslužne njene prednosti u odnosu na žicom vezane mrežne uređaje.

Glavne prednosti uključuju:

·         prikladnost upotrebe (mogućnost spajanja tamo gdje korisniku najbolje odgovara, naravno unutar dometa antene)

·         veću mobilnost (korisnici mogu pristupiti Internetu i ostalim resursima van normalnog radnog okruženja što je posebno važno za korisnike prijenosnih računala)

·         povećanu produktivnost (korisnici mogu održati vezu sa željenim izvorom podataka čak i dok su u pokretu, tj. posao se može izvoditi i daleko od radnog mjesta)

·         olakšanu implementaciju (osnovna instalacija zatjeva tek jednu pristupnu točku na koju se povezuju korisnici; žičani sustavi, s druge strane, zahtjevaju često opsežnije poslove kako bi se sustav mogao pravilno implementirati)

·         proširivnost mreže (bežične mreže mogu naglo povećati broj korisnika bez potrebe za dodatnom opremom za razliku od žičanih sustava gdje svaki novi korisnik treba imati vlastitu žicu, tj. vlastiti priključak)

·         mala razlika u cijeni (napretkom tehnologije danas su cijene bežičnih, u odnosu na žičane mrežne uređaje, tek neznatno više, a tu malu razliku u cijeni nadmašuju jednostavnijom implentacijom za koju nije potrebno bušiti zidove kako bi se povezao sustav)

Bežični mrežni sustavi koliko god nudili prednosti ipak svojom uporabom donose i neke nedostatke, između kojih će ovdje biti spomenuti oni najvažniji:

·         Sigurnost: S obzirom da antene odašilju signal u određenom radijusu, postoji opasnost da signal registriraju i druga računala, tj. neautorizirani korisnici koji žele neovlašteno ući u vaš sustav. Da stvar bude još ozbiljnija, postoje korisnici poznati pod imenom "wardrivers" koji traže bežične mreže s ciljem da se domognu tuđih podataka. Kod žičanih sustava bi za ovakav upad u sustav provalnik trebao prisluškivati same žice, a kako kod WLAN sustava se ne koriste žice već zrak ako medij, svatko može doći do signala koji se odašilje. O problemu sigurnosti i načinima zaštite će biti više riječi dalje u tekstu.

·         Domet: Problem bežičnih sustava leži i su malom dometu antena koje se standardno koriste. Kod posljednjeg, 802.11g standarda, domet iznosi svega nekoliko desetaka metara. Iako je ovo dovoljno za kućne uvjete, nikako nije dovoljn za veće urede i pogone tvornica. Veći radijus signala se može dobiti korištenjem dodatnih pristupnih točaka što povećava troškove, posebno u velikim pogonima gdje je potreno nekoliko takvih uređaja.

·         Pouzdanost: Kao i ostali radio prijenosi signala, i onaj kod WLAN sutava je podložan raznim smetnjama, interferencijama, djelomičnim poništenjima signala i ostalim poremećajima. Iz tog razloga se važni mrežni resursi, kao što su primjerice serveri, rijetko spajaju bežično.

·         Brzina: Današnji bežični sustavi nude brzine do 108 Mbit/s, što je relativno sporo s obzirom da današnje žičane mreže rade na minimalno 100 Mbit/s, a već mreže od jednog ili više gigabita u sekundi nisu rijetkost. Gledano sa stajališta prosječne brzine Internet pristupa, primjerice za ADSL čija propusnost iznosi od 8 Mbit/s, bežična mreža nudi veću brzinu prijenosa, te tako gledano ne predstavlja usko grlo mrežnog sustava. Ipak, u sustavima koji zahtjevaju velike brzine prijenosa podataka između računala u intranet mreži, bežična mreža postaje usko grlo i može predstavljati problem. Nadolazeći standardi, kao što je 802.11n, će ponuditi veću propustnost i omogućiti prijenose od 100 do 200 Mbit/s.

Nakon prikaza prednosti i mana bežičnih mrežnih sustava, slijedi detaljnija razrada jednog od najvećeg nedostatka: sigurnosti. Prije nego što se detaljno prikažu sustavi zaštite jednog takvog sustava, valja navesti najčešće načine neovlaštenih upada u privatne i poslovne bežične mrežne sustave.

 

V.            Tipovi neovlaštenih upada u bežične mrežne sustave

U ovom dijelu teksta će biti obrađeni česti načini probijanja u privatne WLAN sustave.

Slučajno povezivanje (eng. Accidental Association)

Pristup u privatnu bežičnu mrežu se može dogoditi slučajno, bez izričite namjere neovaštene osobe. Takav se upad može dogoditi u prostorima gdje više privatnih korisnika ili firmi koristi vlastitu bežičnu mrežu, te se korisnik, umjesto na vlastitu, spaja na tuđu pristupnu točku i na taj način neovlašteno koristi tuđe resurse. Takvim korištenjem korisnik, bez znanja može dovesti u opasnost tuđi sustav i podatke s kojima vlasnik raspolaže.

Zlonamjerno povezivanje (eng. Malicious Association)

Do ovakvog povezivanja dolazi kada hakeri lažno predstave svoje računalo kao legitimnu pristupnu točku, te time sav promet prolazi, umjesto kroz tvrtkinu pristupnu točku, kroz njihovo računalo. Takav tip prijenosnih računala je poznat pod nazivom "soft AP" ("softverska pristupna točka"), a temelje se na specijalnom softveru koji mrežnu karticu lažno predstavlja kao pristupnu točku. Jednom kada haker uspostavi vezu, svi unosi od strane vlasnika mreže su u opasnosti, razne lozinke, brojevi kreditnih kartica, povjerljivi dokumenti a i razni drugi podaci. Haker može iskoristiti takvu situaciju i za izvršenje raznih napada na sustav, postavljanje trojanskih konja, crva i ostalih opasnih programa.

Ad-hoc mreže (eng. Ad-hoc networks)

Definiraju se kao peer-to-peer mreže između dvaju računala bežično spojenih računala koje funkcioniraju bez pristupne točke. Ad-hoc mreže mogu predstavljati veliku opasnost sigurnosti ako se nekoristi neki od sustava zaštite podataka (npr. enkripcija).

Netradicionalne mreže (Non-traditional networks)

Mreže kao što su Bluetooth nisu sigurne i mogu predstavljati rizik od upada hakera. Čak bi čitači bar koda i dlanovnici, te bežični pisači i uređaji za kopiranje trebali biti zaštićeni odgovarajućom zaštitom. Netradicionalne mreže se često previde od strane IT osoblja koje je u prevelikoj mjeri koncentrirano na prijenosna računala i pristupne točke.

Krađa identiteta (eng. Identity theft)

Do krađe identiteta dolazi kada je haker u mogućnosti prisluškivanja mrežnog prometa, te u mogućnosti da indentificira MAC adrese računala koja se legitimno spajaju na pristupnu točku. Pristupna točke često koriste ovaj sustav zaštite i dopuštaju pristup samo računalima sa MAC adresama koje je dodijelio aministrator. Uz pomoć nekog od programa za lažno predstavljanje MAC adrese u mreži haker može lako zaobići ovu prepreku i upasti u sustav. Pojam krađe identiteta je još poznati i pod imenom "MAC Spoofing".

"Čovjek-u-sredini" napadi (Man-in-the-middle attacks)

Radi se o sofisitciranom napadu koji je vješto isplaniran od strane hakera. Napad se mora izvesti samo onda kada korisnik koristi mrežu, tj. dok je online. Napad se ostvaruje instaliranjem dodatnog servera kroz koji će prolaziti sav promet između korisnika i pristupne točke, s ciljem analiziranja mrežne komunikacije između korisnika i ostalih mrežnih servisa, kako bi napadač kasnije mogao preuzeti lažni digitalni identitet napadnutoga korisnika i počiniti prijevaru. Napadi ovakvog danas mogu izvoditi korisnici sa vrlo malo iskustva (tzv. script kiddies) zbog raznih aplikacija rađenih upravo za tu namjenu (npr. LANjack ili AirJack), a koje su dostupne za download na mnogim Internet adresama. Takve aplikacije korisnika vode korak po korak kroz proces napada, a od korisnika se samo očekuje da pronađe dobru lokaciju gdje postoji kakva nezaštićena mreža.

Slika 2 - Primjer "Čovjek-u-sredini" napada

 

Uskraćivanje usluge (eng. Denial of Service)

Poznat još pod skraćenicom DoS, ovaj napad služi za zagušenje mrežne opreme i poslužitelja generiranjem velike količine mrežnog prometa. Napadnuti uređaji postaju toliko zagušeni da više nisu u stanju obrađivati stvarne, legitimne zahtjeve, te stvarni korisnici nisu više u stanju pristupiti mrežnim uslugama poput web mail-a, login servera itd. Dok DoS napad potjeće iz jednog izbora, DDoS ili Distributed Denial of Service (Distribuirano uskraćivanje usluge) se generira iz više mjesta na Internetu. Najčešće se radi o računalima na koja je prethodno provaljeno kako bi ih se iskoristilo za napad na druge mreže ili računala na Internetu (tzv. Zombie računala).

Slika 3 - Primjer DDoS napada

Mrežno ubacivanje (eng. Network Injection)

Posljednji tip napada koji će biti ovdje obrađen je napad mrežnim ubacivanje. Kod ovakvog napada haker iskorištava pristupne točke koje su izložene ne-filtiriranom mrežnom prometu, posebno broadcast prometu kao što je "Spanning Tree" (802.1D), OSPF, RIP, HSRP itd. Haker ubacuje lažne mrežne komanda za reprogramiranje koje utječu na rad router-a. switch-eva i inteligentnih hub-ova. Ovakvim napadom se može čitava mreža poremetiti tako da za uspostavljanje rada je potrebno resetirati opremu, a katkada i reprogramirati sve inteligentne uređaje.

Nakon prikaza najčešćih načina upada u bežične mrežne sustave, slijede metode kojima se možemo obraniti od takvih napada, a koje se mogu primjeniti kako u kućnim, tako i u velikim bežičnim mrežama.

VI.          Načini zaštite bežičnih mrežnih sustava

Danas postoji mnogo tehnologija pomoću kojih se možemo zaštititi od mrežnih upada u sustav. Ipak, niti jedna danas dostupna metoda nije apsolutno sigurna, no stalnim naporima stručnjaka u IT industriji tehnologija napreduje i sigurnost se polagano povećava. U cijelom ovom procesu vrlo je važno i pravilno educirati korisnike jer niti jedna tehnologija danas dostupna nije u stanju predvidjeti sve naredbe koje su korisnici spremni izdati, a kojima mogu prouzročiti izuzetno veliku štetu, posebno ako se radi o mrežama velikih korporacija.

MAC filtriranje (eng. MAC filtering)

Svaki uređaj spojen na mrežu posjeduje fizičku adresu zapisanu u njegovom ROM-u, a koja se sastoji od 12 heksadecimalnih znakova od kojih prva četiri označavaju ime proizvođača, dok ostatak predstavlja model i serijski broj uređaja. Većina danas dostupnih pristupnih točaka sadrži algoritam zaštite putem filtriranja MAC adresa koji administrator tako podesi da samo računala sa određenom MAC adresom mu mogu pristupiti. Iako ovakav način zaštite može na prvi pogled djelovati siguran s obzirom da su podaci o MAC adresama zapisani u ROM-u uređaja, danas postoje softverski alati (primjerice Soft MAC) koji omogućava dodjeljivanje MAC adrese po želji mrežnom adapteru. S tim u vidu, samostalno korištenje MAC filtriranja ne predstavlja preveliku prepreku za hakere.

Slika 4 - Sučelje SMAC alata za promjenu MAC adrese

Statično IP adresiranje (eng. Static IP addressing)

 
Mnogi današnji sustavi koriste DHCP servere za dinamičko dodjeljivanje IP adresa računalima čim se spoje na mrežu. Iako ovakav način adresiranja uvelike olakšava posao IT osoblju, kao i korisnicima, olakšava upad i neautoriziranim korisnicima čime se sigurnost sustava može dodatno ugroziti.
Isključivanjem funkcije DHCP servera na router-u, te ručnim podešenjem IP adresa opasnost od upada se može dodatno smanjiti. Smanjenjem vrijednosti subnet-a na najmanju moguću vrijednost možemo dodatno povećati sigurnost jer je broj mogućih IP adresa manji, a sve ostale su zabranjene putem vatrozida.

Slika 5 - Sučelje za statičko adresiranje

Isključivanje SSID-a (eng. Service Set Identifier)

SSID se može još nazvati i "mrežno ime" jer služi za identifikaciju mreža. Ime se sastoji od niza do 32 znaka koji su osjetljivi na velika i mala slova (eng. Case Sensitive). Sva bežična oprema koja želi međusobno komunicirati mora imati isto mrežno ime, tj. SSID.
Isključivanje slanja mrežnog imena na sve uređaje (eng. broadcast) je iznimno slaba zaštita bežičnih sustava i ne osigurava ni približno dovoljnu sigurnost.

WEP enkripcija (eng. WEP encryption)

WEP je skraćenica od "Wired Equivalent Privacy" ili "Wireless Encryption Protocol", a predstavlja sigurnosni protokol za bežične mreže utvrđene standardom 802.11b. Od WEP protokola se očekuje stupanj sigurnosti jednak onom kod tradicionalnih ožičenih lokalnih mreža. WEP djeluje na dva donja sloja OSI modela – na fizičkom (eng. physical) i na sloju veze (eng. data link layer) i temelji se na enkripciji podataka između krajnjih točaka.
WEP za funkcioniranje koristi različite veličine ključeva, standardnih duljina 64-, 128- i 256 bita. Što je ključ duži to ga je teže probiti, no i samim je računalima potrebno više vremena kako bi dekodirali podatke koji se prenose. Tajni ključ je poznat samo mobilnim stanicama i pristupnoj točki na koju se spajaju. Uz pomoć tajnog ključa paketi se kriptiraju prije slanja, a dodatno se vrši provjera integriteta kako bi paket na odredište stigao nepromjenjen. Za kripciju se koristi RC4 sustav zaštite koju je osmislio američki stručnjak Ronald Rivest, 1987. godine. RC4 proširuje kratak niz znakova u beskonačno dugačak pseudo nasumičan niz koji pošiljatelj pomoću funkcije XOR i originalne poruke pretvara u kriptiranu poruku koju šalje primatelju. Kako primatelj posjeduje isti ključ, prilikom preuzimanja on ga iskorištava te time dobiva identičan niz znakova koji uz pomoć XOR funkcije dekriptira i dobiva originalnu poruku.
Na slici 6 je grafički prikazan proces kriptiranja:

Slika 6 - kriptiranje pomoću RC4 algoritma

Praksa je, nažalost, pokazala da WEP ipak ne nudi očekivanu razinu sigurnosti bežičnih lokalnih mreža, a velika količina danas dostupnog softvera omogućuje da i manje iskusni korisnici otkriju ključ po kojem se podaci kriptiraju i u vrlo kratkom vremenu dođu do tuđih podataka. 2005. godine je tim iz FBI-ja demonstrirao kako se korištenjem softvera dostupnog na Internetu može probiti WEP enkripcija u manje od tri minute. Probijanje dužih ključeva zahtjeva više presretnutih paketa, no aktivnim napadima moguće je stimulirati dovoljnu količinu paketa da bi se otkrio ključ.
Naprednije varijante WEP protokola danas postoje, no mali je broj uređaja koji ih podržava.

Neki od njih su:

·         WEP2 (povećana vrijednost inicijalizacijskog vektora, primjenjena 128-bitna enkripcija)

·         WEPplus (ili WEP+, u vlasništvu Agere Systems, povećana učinkovitost samo ako se koristi na oba kraja veze)

·         Dynamic WEP (mijenja WEP ključeve dinamički, koristi se samo kod nekih proizvođača mrežne opreme, primjerice kod 3Com-a)

·         WEP cloaking (vlasništvo Air Defense-a, uklanja nedostatke WEP kripcije slanjem simuliranog prometa koji onemogućuje korištenje dekripcijskih alata bilo pri pasivnim ili aktivnim napadima)

·         WPA i WPA2 (najprimjenjenije rješenje za WEP probleme je prelazak na WPA ili WPA sustav zaštite o kojima više riječi u nastavku)

WPA (eng. WiFi Protected Access)

Skraćeno od "WiFi Protected Access", ovaj sustav zaštite sastavni je dio 802.11i standarda. Radi se o sustavu za uspostavljanje sigurnih bežičnih mreža čija je svrha da zamijeni manje siguran WEP protokol. WPA uključuje mogućnost enkripcije podataka i autentifikacije korisnika.
Podaci su kriptirani RC4 sustavom sa 128-bitnim ključem i 48-bitnim inicijalizacijskim vektorom. Prednost nad WEP standardnom je u korištenju TKIP protokola (eng. Temporal Key Integrity Protocol), koji dinamički mijenja ključeve za vrijeme korištenja sustava. Kombinacijom dugačkog inicijalizacijskog vektora i TKIP protokola sustav se može lagano obraniti od napada kakvi se koriste za otkrivanje ključa primjenom WEP protokola.

Uz spomenuta unaprijeđenja, WPA protokol također donosi i sigurniji sustav provjere identiteta u odnosu na CRC (eng. Cyclic Redudandy Check) koji se koristi kod WEP protokola. Naime, kod CRC-a napadač može promijeniti sastav poruke koja se šalje i vratiti vrijednost CRC-a na originalnu, čak i bez da je ključ, kojim je kriptirana poruka, poznat. Sigurniji način je korištenjem „koda za autentifikaciju poruke“ (eng. Message Authentication Code, skraćeno MAC), tj. "koda za integritet poruke" (Message Integrity Code, skraćeno MIC) poznatijeg kao „Michael“ koji u WPA uključuje brojač frame-ova čime se isključuje mogućnost promjene sastava poruka u komunikacijskom kanalu.

Uz pomoć navedenih tehnologija, probijanje u bežični mrežni sustav zaštićen WPA protokolom je relativno teško. „Michael“ algoritam je najsloženiji algoritam koji su WPA dizajneri mogli napraviti, a da je kompatibilan sa starijim mrežnim karticama. Zbog neizbježne slabosti tog algoritma, WPA u sebi ima ugrađene protumjere u vidu specijalnog mehanizma koji blokira pristup napadaču ako sustav primjeti pokušaj probijanja TKIP protokola.

Kako je RC4 sustav kriptiranja podataka relativno star, a njegovo probijanje ne predstavlja veliki napor hakerima, razvijen je WPA 2 protokol koji koristi napredni sustav kriptiranja zvan AES-CCMP.

WPA 2 (eng. WiFi Protected Access 2)

Glavna razlika između WPA i WPA 2 protokola je u korištenju naprednog AES-CCMP algoritma. CCMP je skraćenica od engleskog "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol", a temelji se na "naprednom enkripcijskom standardu", tj. AES protokolu (Advanced Encryption Standard).
Od 13. ožujka 2006. godine sva mrežna oprema koja želi dobiti certifikat "WiFi Certified" mora podržavati ovaj algoritam.

Valja spomenuti da WPA i WPA 2 mogu raditi u dva načina rada: Enterprise i PSK (Pre-Shared Key). Osnovna razlika je u činjenici da Enterprise način rada zahtijeva prisutnost servera za autentifikaciju, koji standardno koristi RADIUS protokol za autentifikaciju i distribuciju ključeva. Zbog toga postoji mogućnost centralizacije ključeva, no ovakve mogućnosti nisu namjenjene kućnim korisnicima (zbog investicije u RADIUS server). Pre-Shared Key ne zahtjeva server za autentifikaciju jer koristi tajni ključ koji korisnik odredi. Svaki korisnik mora odrediti lozinku za pristup mreži koja mora biti duža od 8, a kraća od 63 ASCII znaka ili može odrediti 64 heksadecimalne znamenke (256 bita).

802.1X

Radi se o IEEE standardu za pristup ožičenim i bežičnim mrežama koji definira upotrebu autentifikacije i autorizacije LAN jedinica. Standard definira upotrebu EAP (eng. the Extensible Authentication Protocol) protokola koji koristi cetralni autentifikacijski server. Nažalost, tijekom 2002. godine profesor na sveučilištu Maryland je pronašao neke propuste i u ovom standardu.

LEAP (eng. Lightweight Extensible Authentication Protocol)

LEAP je skraćenica od engleskog "Lightweight Extensible Authentication Protocol", a radi se o autentifikacijskoj metodi temeljenoj se 802.1x protokolu kako bi se smanjili sigurnosni propusti kod WEP-a korištenjem sofisticiranog vođenja sustava ključeva. Dinamički generirani WEP ključevi i međusobna autentifikacija (između klijenta i RADIUS servera) omogućuju da se klijenti često ponovno autentificiraju, a prilikom uspješne autentifikacije dobivaju novi WEP ključ. Cilj ovakve komunikacije je pokušaj izbjegavanja otkrivanja ključa od strane hakera stalnim generiranjem novih ključeva i kratkim trajanjem svakog pojedinog.
Ipak, danas dostupni alati poput THC-LeapCracker-a omogućuje probijanje LEAP zaštite i napad na klijente u obliku "napada rječnikom" (eng. Dictionary Attack).

PEAP (eng. Protected Extensible Authentication Protocol)

PEAP označava "Protected Extensible Authentication Protocol" protokol razvijen od strane Cisco-a, Microsoft-a i RSA Security-ja. PEAP (čita se "pip") nije enkripcijski protokol – on služi samo za autentifikaciju klijenta u mreži.
PEAP koristi certifikate javnih ključeva na serverskoj strani kako bi autentificirao klijente kreiranjem SSL/TLS tunela između klijenta i autentifikacijskog servera, te time štiti od podatke koji se prenose mrežom.

TKIP (eng. Temporal Key Integrity Protocol)

TKIP je skraćenica od "Temporal Key Integrity Protocol", a dio je 802.11i standarda. Koristi se u sustavu WPA zaštite za mijenjanje ključeva po paketima u kombinaciji s provjerom integriteta poruke. Korištenjem dinamički generiranih ključeva riješio se je problem nesigurnosti korištenja statičkih ključeva korištenih kod WEP protokola.

RADIUS (eng. Remote Authentication Dial In User Service)

Skraćeno od "Remote Authentication Dial In User Service", ovaj servis nudi odlično oružje protiv napada hakera. Spada u AAA protokole što znači da rješava pitanja autentifikacije, autorizacije i računa (eng. Authentication, Authorization and Accounting). Ideja leži u korištenju servera unutar sustava koji glumi čuvara koji verificira korisnike preko korisničkog imena i lozinke koja je određena od strane korisnika. Pomoću RADIUS servera korisnicima se mogu dodijeljivati razne dozvole i ograničenja, primjerice za potrebe naplaćivanja usluge korištenja. Negativna strana ovakvog sustava je u investiranju u server koji će obavljati RADIUS funkciju.

WAPI (eng. WLAN Authentication and Privacy Infrastructure)

Skraćeno od "WLAN Authentication and Privacy Infrastructure", ovaj standard je definiran od strane kineske vlade. Iako je dizajniran da funkcionira s ostalim WiFi uređajima, njegova kompatibilnost sa sigurnosnim protokolima usvojenim 802.11 stadnardom je upitna.

Pametne kartice, USB i softverski tokeni (eng. Smart cards, USB tokens, and software tokens)

U ovom se slučaju radi o vrlo visokom stupnju sigurnosti. Kada se koristi u kombinaciji sa nekim softverom instaliranom na serveru, hardverska ili softverska kartica ili token će uz pomoć internog identifikacijskog koda i korisnikovog PIN broja stvoriti moćan algoritam koji će često generirati nove enkripcijske kodove. Server je u tom slučaju vremenski sinhroniziran sa karticom ili tokenom. Na ovaj način je bežična veza osigurana vrlo visokim stupnjem kriptiranja i upad je izuzetno teško izvesti.

Trenutno se ovakav sustav zaštite smatra najsigurnijim, no i cijena prati nivo sigurnosti pa je tako ovaj sustav najskuplji od svih ovdje predstavljenih i danas dostupnih na tržištu.
Iz prikazanih načina zaštite možemo zaključiti da danas postoji dovoljno tehnologija zaštite za zadovoljavajuću zaštitu kućnih bežičnih sustava, no za velike korporacije je jedino upotreba pamentih kartica i tokena dovoljna za željeni nivo sigurnosti. Uz navedene metode vrlo je važno obratiti pažnju i na korisnike i njihovu svijest o problemu sigurnosti, te ih naučiti da koriste kvalitetne lozinke, te da ne instaliraju/pokreću sumnjive programe koji bi mogli ugroziti sigurnost čitavog informatičkog sustava. Administratori također trebaju biti svjesni svih opasnosti i prvom prilikom promijeniti sve tvorničke lozinke koje koriste pristupne točke, router-i i ostala mrežna oprema. Također, u mnogo slučaja osoblje zaboravlja uključiti sve sustave zaštite koje oprema nudi, a kako se uređaji isporučuju bez uključene ikakve zaštite, vrlo je važno da se takvo stanje što je prije moguće promijeni. Standardni ključevi su nekvalitetni i njihova promjena nije opcija, već nužnost koja pozitivno utječe na sigurnost.

Prije zaključka valja spomenuti još jedan problem koji se pojavljuje prilikom korištenja nekog od sustava enkripcije. Naime, brzine današnjih bežičnih mrežnih sustava su daleko od nazivne brzine po specifikacijama standarda. Kada se u komunikaciju uključi i neki od sigurnosnih protokola (npr. 128-bitni WEP), brzina dodatno pada za 10 do 30%. Pad brzine je manje primjetan na novijoj, skupljoj opremi i modernijim računalima, no korisnicima starijih sustava može predstavljati još jedan minus koji ih čak može odvratiti od implementacije sustava. S druge strane, kako je vidljivo u prethodnom dijelu teksta, sustavi zaštite kao što su WEP u kombinaciji sa MAC filitriranjem i prikrivanjem imena mreže se mogu relativno lako zaobići što definitivno ne opravdava umanjene performanse sustava s kojima korisnici svakodnevno moraju raditi.

 

VII.        Zaključak

Bežične mrežne tehnologije predstavljaju novi oblik mrežne komunikacije koji progresivno napreduje i u budućnosti će, kako se danas situacija razvija, zamijeniti ožičene mrežne sustave kako po pitanju brzine, tako i po pitanju sigurnosti. Na novim se standarnima stalno radi, oprema postaje sve sofisticiranija, softver sve brži, a sustavi zaštite također napreduju, iako su prijetnje sigurnosti posvuda oko nas, a Internet kao medij omogućava svakome da se u nekoliko trenutaka pretvori iz običnog surfera u napadača koji, možda potpuno nedužno, može ugroziti vrlo važne podatke koji nekome život znače. Cijene prijenosnih računala sa bežičnim karticama su danas vrlo povoljne i stalno padaju i iz tog je razloga danas lagano proći gradom i hvatati signale bežičnih mreža u nadi da se pronađe način da se uđe u tuđi sustav i krade Internet promet ili, važnije, podaci. Razna istraživanja vezana uz sigurnost bežičnih sustava su pokazala da je skoro 50% sustava nezaštićeno (2), što govori u prilog činjenici da korisnici nisu svjesni, a niti educirani o opasnostima koje donosi bežična mreža. Zabrinjava i činjenica da su i mnoge male tvrtke potpuno nezaštićene što bi zlonamjerni korisnici mogli itekako dobro iskoristiti u svoju korist, a da vlasnici tih sustava niti nisu svjesni da su podaci i povjerljivi dokumenti mogu izlaziti iz tvrtke i kroz zaključana vrata.
Međutim, čak i korištenjem nekog od sustava zaštite računala nisu 100% sigurna, a uz taj nedostatak problem se javlja i u značajnom usporenju mreže ako se koriste jači sustavi kriptiranja.
No, kako se na kvalitativnim pomacima radi iz dana u dan, možemo se samo nadati da će budući standardi donijeti brže i sigurnije sustave u koje će se korisnici moći pouzdati i uistinu ih u miru koristiti.

VIII.      Popis literature

Tiskana literatura:

1.                       Englesko-hrvatski Informatički enciklopedijski rječnik u izdanju Jutarnjeg Lista, ISBN 953-6748-00-2 (cjelina) i ISBN 953-6748-02-9

2.                       časopis VIDI, brojevi 97 i 119, nakladnik VIDI-TO, ISSN 1330-626X

Internet stranice:

a.       Wikipedia

b.      CERT

c.       Security of WEP algorithm

Slike preuzete s raznih Internet stranica pomoću Google pretraživača.

by Darko Hlušička, rujan 2007. Copyright PC Zenith. Sva prava pridržana.