ONLINE Marketing
MOBIL weboldalkészítés


ADSL internet,telefon nélküli ADSL internet,modemes internet,elérés,Győr Honlap elhelyezés,webtárhely,webhosting,statikus webtárhely,dinamikus webtárhely,php,postgresql,mysql,.hu domain név regisztráció,.eu domain név regisztráció,ékezetes domain név regisztráció Honlap tervezés,weboldal tervezés,honlap készítés,webdesign
www.IRQ.hu

Vezeték nélküli hálózat otthon - III. rész

2005.12.29. | forrás: pdamania.hu
Cikksorozatunk első két részében megismerkedtünk a vezeték nélküli hálózatok alapjaival, összehasonlítottunk a vezetékes hálózatok adta lehetőségekkel, bemutattuk 802.11 szabványokat, ismertettük mire van szükség egy otthoni/irodai WLAN hálózat kiépítéséhez, mire használhatjuk vezeték nélküli hálózatunk képességeit, felsoroltuk mire érdemes figyelni vásárláskor, áttekintettük egy WLAN router alapvető beállításait valamint néhány gyarkolati példát is megemlítettünk.

Ebben a részben a biztonság nagyon fontos kérdését tárgyaljuk. Ismertetjük a WiFi hálózatok támadható pontjait, sérülékenységét valamint az illetéktelen felhasználás kivédésének lehetséges módszereit, technológiáit.

A WiFi hálózat védtelensége
Korábban már szót ejtettünk arról, milyen kockázattal jár, ha vezeték nélküli képességgel ruházzuk fel vezetékes hálózatunkat, most pedig egy kicsit mélyebb betekintést szeretnénk nyújtani a WLAN hálózat előnyeivel együtt járó veszélyekbe. Emlékeztetőül: a vezetékes hálózat egyértelmű kontrollálhatóságával szemben (fizikailag kábellel kell csatlakoztatnunk egy számítógépet a hálózathoz) a WLAN hálózatok esetében megfelelő biztonsági módszerekkel tudjuk elérni, hogy csak azok kapcsolódhassanak hálózatunkhoz, akiknek ténylegesen megengedjük azt.

Felvázolva a helyzet komolyságát, gondoljunk csak bele: frissen összeállított WiFi hálózatunk, amely még nincs felvértezve semmiféle biztonságtechnikai megoldással, bárki számára elérhető, aki WLAN képes eszközzel rendelkezik, azaz bárki hozzáférhet a hálózaton megosztott erőforrásainkhoz, mappáinkhoz, dokumentumainkhoz, képeinkhez, email-jeinkhez és egyéb személyes adatainkhoz, amelyeket vezetékes hálózatunkban eddig biztonságban tudhattunk.

Ki szeretné, ha akarata ellenére felkerülnének családi fotói az internetre, kitudódnának céges adatai vagy éppen folyamatban lévő üzleti projektjeinek titkos részletei egy illetéktelen, esetleg rosszindulatú személy munkálkodásának eredményeképpen, aki még egy vírust is elhelyezhet hálózatunkon, vagy egyszerűen csak törölheti minden adatunkat, felbecsülhetetlen kárt okozva ezzel nekünk? Azt hiszem bőven elég ezt a néhány példát megemlíteni ahhoz, hogy megfelelő komolysággal álljunk a biztonsági kérdések figyelembevételéhez és a védelmet támogató technológiákkal való megismerkedéshez, majd azok alkalmazásához.

A védelem felépítése - biztonsági technológiák
Lássuk, milyen lehetőségeink vannak, hogy megvédjük hálózatunkat és adatainkat a kíváncsiskodókkal és illetéktelenekkel szemben!

Access Pointok / Routerek elhelyezése
Talán furcsa, de ez is a biztonsági kérdésekhez tartozik. Bárhol is helyezzük el WLAN állomásunkat (összefoglaló nevén base-station) a lakásban, irodában, valameylest mindenképp ki fognak jutni az általa kibocsátott jelek a falakon, ablakokon keresztül. Érdemes azonban úgy megválasztani a helyét, hogy az általunk fontosnak tartott pontokon, a kívánatos rálátás megőrzése mellett, lehetőleg az épület közepe táján helyezkedjen el az Access Point, vagy Router. Így hatósugarának kültérre eső részét képesek vagyunk minimalizálni.

Sokan egyszerűen közvetlenül a kábel-, DSL modem mellett helyezik el, ami rendszerint nem egyezik az épület középpontjával. Ez a pont sokkal inkább a bejövő kábeltv vagy a telefonvonal mellett található, és inkább az épület valamelyik külső falánál helyezkedik el. Ebben az esetben a lakás másik végén már meglehetősen gyenge lesz a jel, hála a közfalaknak, kívül az utcán pedig sokkalta erősebb annál, mint az kívánatos lenne. Ne felejtsük el, nem nyilvános internetelérést kívánunk szolgáltatni az arra járóknak!

Az adminisztráció jelszava
Az Access Pointok és Routerek gyári SSID elnevezéssel és jelszóval kerülnek a boltokba, ez minden eszköz felhasználói kézikönyvében szerepel, sőt sokszor az adminisztrátori felület bejelentkező oldalán is megjelenik a gyári beállítás jelszava, ami legtöbbször az "admin" szó.

Nyilvánvaló, ha ezt nem változtatjuk meg, ingyen belépőt osztogatunk azoknak, akiket egyébként nem szeretnénk beengedni rendszerünkbe. Első dolgunk legyen a Router vagy Access Point beüzemelése után megváltoztatni az adminisztrátori jelszót! Hosszú (minimum 6 karakternyi), kis/nagybetűk és számok kombinációjából álló kódszót adjunk meg. Létezik sok ingyenes jelszógeneráló kis alkalmazás, amely elérhető az interneten, ilyen például az általam kedvelt PWGen is.

SSID
Ahogy az imént is említettük, minden vezeték nélküli Access Point és Router a gyári beállításokkal kerül a boltokba, ennek értelmében az egy gyártó által piacra dobott termékek ugyanazzal az SSID-val kerülnek ki a gyárból, az SMC például "smc" SSID-val adja ki termékeit, a LinkSys "linksys" SSID-val.

Szintén első teendőink között szerepeljen a gyári SSID megváltoztatása, azonban ezt is megfelelő körültekintéssel tegyük! Semmiképp ne válasszunk olyan szót, amely utal nevünkre, cégünk nevére, az utca nevére vagy bármilyen könnyen hozzánk kapcsolható információra, még a kutyánk nevére sem. Legjobb ha legalább 6-8 betűből és számokból álló kombinációt adunk meg, ahogy azt jelszó választáskor is tesszük. Az SSID minden egyes adatcsomagban utazik a hálózaton, hogy azonosítani lehessen melyik Access Pointtól származik a csomag, egy "krixkrax" SSID is nehezíti valamennyire a betörő dolgát!

SSID Broadcast
Az SSID Broadcast funkció az SSID "szétkürtölését", szétszórását jelenti az Access Point hatótávolságában. Fontos, hogy a mi eszközeink sem fogják automatikusan megtalálni a hálózatot anélkül, hogy külön megadnánk nekik az SSID nevét, a továbbiakban viszont a kapcsolódás már gördülékeny lesz. A hálózat alapvető funkcióinak beállítása után kapcsoljuk ki, így az átlag kíváncsiskodó nem is sejti majd, hogy WiFi hálózat van a közelben.

MAC cím szűrés
Ahogy a Routerek beállításaiban általában találkozunk vele: MAC Address Filtering. A MAC (Media-access Control, Eszköz Hozzáférés Ellenőrzés) szűrés annyit jelent, hogy csak azt engedjük a hálózathoz kapcsolódni, akinek az azonosítója szerepel a listánkban. Ez olyan, mintha csak névre szóló meghívóval mehetnénk be egy partyra.

A MAC cím minden egyes termék esetében egyedi a világon, minden gyártó az általa gyártott termékekhez kap egy hivatalosan igényelt azonosító listát, amelyet "beleéget" az adott termékbe, hogy az egyedileg azonosítható legyen.

Biztonsági intézkedéseink egyik könnyen alkalmazható és javasolt módszere ez, azonban nem jelent teljes védelmet: ügyes kalózok a MAC címet is tudják hamisítani, sőt több termék esetében mi is átállíthatjuk, megfelelő alkalmazások segítségével.

Esetenként körülményes lehet ennek a funkciónak a használata, például ha egy barátunk gépét szeretnénk ideiglenesen beengedni a hálózatra, ha átugrik hozzánk néhány dokumentumért. Ilyenkor be kell lépnünk a Router adminisztrációs felületébe, ott rögzíteni a MAC listába a gép azonosítóját, majd ha már nincs rá szükség kitörölni onnan. Mindezek ellenére a MAC cím szűrést javasolt használni.

IP cím tartomány, IP kiosztás és DHCP
A hálózatunkat alkotó eszközeinknek, legyenek azok Access Point-ok, Routerek vagy számítógépek, mindnek szüksége van egy-egy egyedi azonosítóra, amellyel hivatkozhatnak egymásra a kommunikáció során.

Ez a szám az IP cím, amelyet négy, egyenként 0-255 intervallumból válaszott számmal adunk meg. A világ összes hálózatán minden egyes eszköz ezen a módon azonosítja magát. Az általunk vásárolt Routerek gyári alapbeállítása általában a 192.168.0.xxx, 192.168.1.xxx vagy a 192.168.2.xxx tartományra van állítva.

Az IP cím tartomány kiválasztásának meg van a maga, szabvány által meghatározott módja, amire ebben a cikksorozatban nem kívánok kitérni, annyit azonban érdemes tudnunk, hogy az említett konkrét tartományok a "saját alhálózat" szabadon használható tartományai. Itt felvetődik egy érdekes dilemma: elvileg nem változtathatjuk meg szabadon bármire ezt a tartományt, azonban ha változatlanul hagyjuk a gyári beállítást, leegyszerűsítjük a betolakodó dolgát.

Mit tegyünk hát? A 192.168.yyy.xxx tartomány 256x256 = 65536 számú eszköz azonosítására alkalmas, amiből nekünk csak néhány számkombinációra lesz szükségünk eszközeink azonosításához. Továbbá figyelembe véve, hogy hálózatunk Router-hez kapcsolt gépei úgymond "rejtve" vannak az interneten lógó többi gép elől (közvetlen nem férhetnek hozzájuk, csak a Router-en keresztül), azaz Router-ünkben a NAT (Network Adressing Translation, Hálózati Cím Fordítás) szolgáltatás végzi a címfordítást a publikus, külső IP címünk (amivel az internet szolgáltatónk azonosít minket) és belső eszközeink között: a belső tartományt szinte bármire változtathatjuk.

A két lehetőség között választhatjuk a középutat is: hagyjuk meg a 192.168 tagot az IP cím elején, a harmadik számot (yyy) adjuk meg tetszés szerint, majd a negyedik (xxx) számmal azonosítsuk egyenként eszközeinket. A Router rendszerint az 1-es sorszámot kapja (192.168.2.1), de amennyiben rendszerünk lehetővé teszi, ezt is megváltoztathatjuk az 1-255 közötti értékek bármelyikére, ezzel is eltérve a jól ismert alapbeállításoktól, nehezítve a kalózkodók dolgát.

Beszéljünk egy kicsit a DHCP (Dynamic Host Configuration Protocol, Dinamikus Kliens Konfiguráló Protokol) funkcióról. Ez egy nagyon hasznos szolgáltatás, amely minden Routerbe és sok Access Point-ba is integrálva van. Lényege, hogy egy kliens gép a hálózathoz kapcsolódás elején kérést küld a DHCP szolgáltatást futtató eszköznek: adja meg neki automatikusan a kapcsolódáshoz szükséges beállításokat (IP címet, alhálózati maszkot, átjáró (Gateway) és DNS címeket). Nagy számú hálózati eszköz esetén igen csak segítségünkre van ez a funkció (nem kell minden egyes eszközt egyenként konfigurálni, átkofigurálni), azonban otthoni / kisirodai használat esetén javasolt a kikapcsolása: ne kínáljuk tálcán a beállításokat, IP címet az illetéktelen behatolónak, miután esetleg sikerült átjutnia az egyéb biztonsági vonalakon.

WEP
A WEP (Wired Equivalent Privacy, Vezetékessel Egyenértékű Titkosítás) a kezdeti WiFi szabványok biztonsági technológiája. A WEP-et eredetileg WLAN kapcsolatunk titkosítására találták ki. Az RSA által kifejlesztett RC4 titkosítást használja, szimmetrikus 64 illetve 128 bites, változó hosszúságú kulcsot használva. Ezt a kulcsot, mint sima szöveget küldik oda vissza a hálózaton a kommunikációban résztvevő eszközök, ráadásul mindegyik eszköz ugyanazt az egyetlen kulcsot használja, ezért megszerzése sajnos elég egyszerű. A 64 bites WEP kulcsszó visszafejtése a mai számítógépek segítségével alig néhány óra, nagyjából 20 000 adatcsomag vizsglata elegendő hozzá.

Sajnos már bizonyítottan, 2002 óta nem megfelelő technika hálózatunk védelmére, ennek használata önmagában tehát nem javasolt. Számos könnyen elérhető szoftver van, amely alkalmas a WEP kulcsok megfejtésére (AirSnort, WEPCrack). Kísérletező kedvű olvasóknak érdemes kipróbálni valamelyiket és megbizonyosodni a WEP említett hiányosságairól és gyengeségéről saját hálózatuk esetében.

WPA
A WPA (Wireless Protected Access, Vezeték nélküli Védett Hozzáférés) a 802.11i biztonsági szabvány része, amely 802.11x hitelesítést és TKIP (Temporal Key Integrity Protocol, Ideiglenes Kulcs Integritás Protokol) kulcskiosztást használ. A WEP leváltása céljából fejlesztették ki, tanulva annak hiányosságaiból.

Az IEEE 802.11i a WLAN hálózatok biztonsági szabványa, amelynek fő komponensei a 802.11x hitelesítés, a TKIP protokol és az AES (Advanced Encryption Standard, Továbbfejlesztett Titkosítási Szabvány) titkosító algoritmus. A legújabb készülékek illetve több korábbi termék új firmware frissítése is támogatja már ezt a fontos szabványt, vásárláskor érdemes erre is figyelni!

A TKIP a kulcs disztribúcióért (elosztásért) felelős protokol, amely ellenőrzi az üzenetek integritását is. A már 802.11x módszerrel hitelesített eszközök esetében, a forgalmazott adatcsomagokban dinamikusan képes váltogatni a titkosítást szolgáló kulcsokat, azaz hiába szerzi meg a támadó az éppen használt kulcsot a forgalom lehallgatásával összegyűjtött adatokból, a TKIP-nek elég 5 percenként változtatni a kulcson, a kalóz már kezdheti is elölről munkáját, sőt a TKIP adatcsomagonként is képes új kulcsot generálni.

A WPA két működési módban alkalmazható. Az egyik a Pre-Shared Key mode (Megosztott kulcs mód), amely otthonra és kisvállalkozások számára ideális megoldás. A titkos kulcsot az Access Point adminisztrációs felületén kell megadnunk, ahogy az egyes klienseknél is. Ez első pillantásra megegyezik a WEP módszerével, a WPA azonban a kapcsolódást követően folyamatosan változtatja a titkos kulcsot, így szinte lehetetlen az éppen érvényben lévőt megfejteni. Újabb kapcsolódás esetén ismét az eredeti kulcsot kell megadni, tehát csak arra kell figyelnünk, hogy titkos kulcsunkat senki ne ismerje meg rajtunk kívül.

Aki korábban már ismerkedett a WLAN hálózatokkal és azok biztonsági kérdéseivel, bizonyára ismerősen cseng neki a RADIUS szerver, pontosabban RADIUS alapú hitelesítő szerver megnevezés. Ez a WPA másik működési módja (Enterprise mode) nagyvállalatok számára nyújt biztonságos megoldást, otthoni implementálása meglehetősen körülményes. EAP protokolt (Extensible Authentication Protokol, Kiterjeszthető Hitelesítési Protokol) használ a kliensek azonosítására és 802.11x biztonsági szabványt a kliens eszközökön. Az Enterprise mode továbbá alkalmas többszintű felhasználói jogosultság kezelésére is, azaz (leegyszerűsítve) meghatározható, hogy a hálózaton ki milyen erőforrásokhoz fér hozzá, például ki éri el csak az internetet és ki érhet el egyéb információkat is.

Otthon tehát, saját kis WLAN hálózatunk esetében válasszuk a WPA Pre-Shared Key módot az Access Pointunk adminisztrációs felületén, ekkor nincs szükségünk külön RADIUS szerver konfigurálására a hitelesítéshez. Ezután válasszuk a TKIP vagy AES algoritmust a titkosításhoz, de előtte győződjünk meg arról, hogy eszközeink melyik algoritmust támogatják! Majd adjunk meg egy hosszú, kis/nagybetűkből és számokból álló kulcsot, amit majd a kliens gépek konfigurálásakor is meg kell adnunk. Utolsó beállításként pedig határozzuk meg, milyen időközönként cserélje le az érvényben lévő kulcsot az Access Point.

A kliens kofigurálás esetén a lényeg, hogy azonos beállításokat válasszunk, mint az Access Point-on. Meg kell adnunk az SSID-t, a WPA-PSK (WPA Pre-Shared Key) biztonsági módszert és a választott (TKIP vagy AES) titkosítást, végül a titkos kulcsot (Network Key). Ezek után már biztonságosan kapcsolódhatunk vezeték nélküli hálózatunkhoz.

WPA2
A WPA tulajdonképpen még a 802.11i biztonsági szabvány végelegesítése előtt jött létre, utódja WPA2 néven már a ratifikált 802.11i szabvány szerves részeként vált ismerté, amely kötelezően tartalmazza az erősebb AES (másnéven CCMP) titkosítási módszert is, lecserélve a WPA első verziója által alkalmazott (gyengébb) RC4 titkosítási algoritmust (amit a WEP is használ).

Firmware frissítés
Minden Access Point és Router, továbbá kliens eszközeink is beépített szoftvert tartalmaznak, amely a hardver lehetőségeit használva valósítja meg a kommunikációt más eszközökkel.

Mivel szoftverről van szó, amelyet emberek, programozók készítettek, természetesen előfordul, hogy valamilyen hibát, biztonsági rést hagytak benne, amelyet kijavítva, illetve egyéb új funkciókkal, szabványokkal kiegészítve a későbbiekben ki szokott adni a gyártó. Ez a firmware frissítés, amit rendszerint letölthetünk a Router vagy Access Point gyártójának honlapjáról és egyszerűen telepíthetjük eszközünkre. Az említett biztonsági rések, hibák miatt a frissítéseket rendszeresen kell ellenőrizni és ha újabb jelent meg, mielőbb feltelepíteni, mert az ismert hibákat kihasználva a rosszindulatú behatolók bejuthatnak rendszerünkbe, hiába vérteztük fel hálózatunkat a többi ismertetett biztonsági technikával.

Veszélyes HotSpotok
A hotspot-ok száma rohamosan növekszik, ennek általában nagyon örülünk: egyre több publikus helyen (éttermekben, kávézókban, intézményekben, stb.) férhetünk hozzá ingyen vagy minimális összeg ellenében az internethez. Óvatosságra kell, hogy intsen azonban minket a tudat: ezek a vezeték nélküli elérési pontok rendszerint nélkülöznek mindennemű biztonsági óvintézkedést az egyszerű tűzfal beállításokon kívül (sőt sokszor még azt is), hogy felhasználóik minél egyszerűbben, problémamentesen kapcsolódhassanak a telepített Access Point-hoz.

Van néhány fontos óvintézkedés, amit érdemes betartanunk, ha hotspot vadászatra indulunk. Mindenképp telepítsünk gépünkre valamilyen tűzfal programot, tiltsunk le minden nyomtató- és fájlmegosztást a csatlakozás előtt, és ne feledjük: az adatforgalmunk valószínűleg teljesen titkosítás mentes, tehát ha egy szakavatott "kukkoló" lehallgatja forgalmunkat, abból értékes információkat, bejelentkezési azonosítókat, jelszavakat szerezhet. Amennyiben lehetséges használjunk VPN (Virtual Private Network, Virtuális Magán Hálózat) szoftvert a távoli kapcsolat létrehozására céges hálózatunkhoz. Legyünk tehát rendkívül óvatosak!

Melyiket válasszam?
Az igazat megvallva nem az a kérdés, hogy melyik lehetőséget válasszuk, hanem az, hogy mely lehetőségek kombinációival éljünk WiFi hálózatunk védelme érdekében. Hiába használjuk önmagában például az imént ismertetett WEP technikát a titkosításhoz, ha az illetéktelen behatoló az adatforgalom elemzésével megtalálja a bejelentkezéshez szükséges adatokat. Hiába kapcsoljuk ki az SSID Broadcast-ot, ha nem változtatjuk meg az Access Point gyári elnevezését, mert egy kiváncsiskodó első próbálkozása valószínűleg pont a gyári nevek végigpróbálgatása lesz, és így tovább.

Általánosságban elmondható, hogy minél több rétegű a védelmünk, annál nehezebb dolga van annak, aki illetéktelenül szeretné használni hálózatunkat és annak erőforrásait.

Összefoglalva, ha betartjuk a következő felsorolt előírásokat, biztonságban tudhatjuk vezeték nélküli hálózatunkon elérhető adatainkat:

helyezzük el a lakás megfelelő pontján Access Pointunkat
frissítsük Access Pointunk, Routerünk és egyéb WLAN képességgel rendelkező eszközünk firmware -jét
változtassuk meg az Access Pointunk adminisztrációs felületéhez tartozó jelszót nehezen kitalálható, megfelelően hosszú kulcsszóra
változtassuk meg hálózatunk SSID-ját nehezen kitalálható, megfelelően hosszú kulcsszóra
kapcsoljuk ki az SSID Broadcast-ot, hogy ne láthassa illetéktelen az Access Point -unkat
állítsunk be MAC cím szűrést, megadva a listában eszközeink MAC címét
kapcsoljuk ki a DHCP szolgáltatást a Routeren és konfiguráljuk be vezeték nélküli eszközeinket, adjunk mindnek fix IP címet
kapcsoljuk be a WPA biztonsági szolgáltatást, válasszuk a TKIP titkosítást és adjunk meg nehezen kitalálható, megfelelően hosszú titkos kulcsszót
Ne feledjük: önmagában egyetlen biztonsági technológia sem nyújt elegendő védelmet, azonban egyetlen egy alkalmazása is több a semminél!
Hírarchívum | Visszalépés az előző oldalra
 
IRQ Hosting Kft.
Székhely: 1072 Budapest, Rákóczi út 42. • Cégjegyzékszám: Cg.01-09-964304 • Adószám: 23408416-2-42
Ügyfélszolgálati iroda: 9022 Győr, Batthyány tér 7. • Telefon: 06-96/333-777 • 06-1/233-7777 • 06-20/477-7777