„Z teorią mamy do czynienia wtedy gdy wszystko wiemy ale nic nie działa



Pobieranie 0,55 Mb.
Strona8/8
Data14.02.2018
Rozmiar0,55 Mb.
1   2   3   4   5   6   7   8

Uwierzytelnianie i szyfrowanie.



Standard IEEE 802.1x

802.1x jest standardem IEEE uwierzytelnionego dostępu do przewodowych sieci

Ethernet i bezprzewodowych sieci standardu 802.11. Standard IEEE 802.1x podwyższa

poziom zabezpieczeń i ułatwia ich wdrażanie, ponieważ oferuje obsługę

scentralizowanej identyfikacji użytkowników, uwierzytelniania, dynamicznego

zarządzania kluczami i ewidencjonowania aktywności.

Kariera standardu 802.1x w sieciach bezprzewodowych rozpoczęła się, gdy na

jaw wyszły wszystkie słabości WEP. Wtedy to wielu dostawców zaimplementowało

802.1x w bezprzewodowych punktach dostępu, by zapewnić bezpieczeństwo sieci

przynajmniej na poziomie autoryzacji. Zastosowanie uwierzytelniania 802.1x eliminuje

niebezpieczeństwo nieautoryzowanego dostępu do sieci już na poziomie warstwy

dostępu. Zazwyczaj uwierzytelnienie jest przeprowadzane przez serwer RADIUS.

Standard IEEE 802.1x jest oparty na protokole EAP.

Alternatywnie IEEE 802.1x może zostać tak skonfigurowany, aby umożliwiać nieautoryzowanym klientom dostęp do specjalnie wydzielonej podsieci wirtualnej zwanej VLAN. Podsieć taka może zostać przystosowana specjalnie na potrzeby gości. Środowisko standardu 802.1x składa się z trzech elementów:

• Klient – w sieciach Wi-Fi jest to komputer zaopatrzony w bezprzewodową kartę sieciową, który próbuje uzyskać dostęp do sieci przez punkt dostępu. W sieciach LAN jest to komputer łączący się ze switch’em.

• Switch lub Access Point – wymusza uwierzytelnienie klienta przed

udostępnieniem portu LAN do użytku.

• Serwer uwierzytelniający – dokonuje uwierzytelnienia i autoryzacji klienta. W

chwili połączenia sprawdza uprawnienia użytkownika i przesyła informację do

punktu dostępu, który udziela, bądź nie udziela dostępu. W sieciach



bezprzewodowych najczęściej do tego celu wykorzystuje się RADIUS.




EAP

Działanie protokołu EAP bardzo szczegółowo opisał Microsoft na swoich witrynach internetowych: http://www.microsoft.com/poland/technet. Poniżej przedstawiam krótki opis protokołu znajdujący się pod dokładnym adresem:

„W standardzie 802.1X protokół EAP jest używany do wymiany komunikatów podczas procesu uwierzytelniania. Protokół EAP umożliwia korzystanie z dowolnej metody uwierzytelniania, na przykład certyfikatów, kart inteligentnych lub poświadczeń. Pozwala on również na nieograniczoną konwersację między klientem

EAP (np. komputerem bezprzewodowym) a serwerem EAP, takim jak serwer usługi uwierzytelniania internetowego (IAS, Internet Authentication Service). Na konwersację

składają się żądania wysyłane przez serwer, które dotyczą podania informacji uwierzytelniających, oraz odpowiedzi wysyłane przez klienta. Aby uwierzytelnienie powiodło się, klient i serwer muszą korzystać z tej samej metody uwierzytelniania.

PPPoE (Point-to-Point Protocol over Ethernet)

Protokół ten został stworzony do autoryzacji w sieciach LAN. Często służy on

także do łączenia z Internetem poprzez zastosowanie odpowiedniego modemu,

przykładem może być usługa Neostrada świadczona przez Telekomunikację Polską.

Okazało się jednak, że protokół PPPoE może być zastosowany również w

przypadku sieci bezprzewodowych. Może on stanowić alternatywę dla protokołu

802.1x. Zaletą PPPoE jest jednorazowa konfiguracja sieci (za pomocą wbudowanych

kreatorów systemów Windows 2003/XP/2000), niezwykle podobna do konfiguracji

Neostrady. Tak samo jak 802.1x, może wykorzystywać serwer RADIUS.

Niestety PPPoE jest wpierane tylko przez profesjonalne i drogie punkty dostępu.

Rozwiązaniem jest konfiguracja odpowiedniego komputera oparta na Linux, MikroTik

lub BSD, ale czynność ta jest dosyć skomplikowana.




WPS (Wi-Fi Protected Setup)

W 2003 roku stowarzyszenie Wi-Fi Alliance przeprowadziło badania, które

miały określić, dlaczego tak mało osób włącza szyfrowanie WPA, WPA2 bądź WEP.

Okazało się, że konfiguracja tych zabezpieczeń dla 44 procent ludzi stanowiła poważny

problem, była po prostu za trudna.11 Moim zdaniem wartość ta została trochę zawyżona,

ponieważ jak pokażę później włączenie WPA lub WEP jest bardzo proste i osoby, które

chociaż w minimalnym stopniu umieją korzystać z komputera powinny sobie z tym

poradzić. Jedynym problemem może być konfiguracja WPA lub WPA2 w sieci,

której korzysta się z serwera RADIUS. Według mnie przyczyną faktu, że ludzie nie zabezpieczają swoich sieci jest po prostu lenistwo. Przeważnie każde dostępne

urządzenie posiada dokumentację oraz instrukcję, z których można dowiedzieć się, w

jaki sposób je skonfigurować. Z innego punktu widzenia to wynik 44 % nie powinien

dziwić, biorąc pod uwagę to, że badania były przeprowadzane w Stanach Zjednoczonych a jak wiadomo Amerykanie wymyślą wszystko byle by się nie napracować i ułatwić sobie życie.

Wi-Fi Protected Setup będzie stosowany w sieciach infrastrukturalnych gdzie do

uzyskania połączenia korzysta się z punktów dostępu. W sieciach „ad hoc” system ten

nie będzie działał. Zaleca się go do zastosowania w małych sieciach domowych

biurowych. W większych sieciach gdzie zastosowano serwery uwierzytelniania WPS. nie zda egzaminu. System ten został zaprojektowany w taki sposób, by użytkownik nie

musiał praktycznie niczego znać ani wiedzieć. Do połączenia się z punktem dostępu nie

trzeba znać nazwy SSID ani klucza szyfrowania WPA2, dane te zostaną same przesłane

z nadajnika do komputera. Działanie WPS w praktyce podzielono na dwa różne

rozwiązania. W pierwszym przypadku, aby zabezpieczyć sieć Wi-Fi użytkownik musi

podać składający się z cyfr kod PIN (Personal Information Number). W drugim

rozwiązaniu wystarczy tylko nacisnąć jeden przycisk, sposób ten określa się skrótem



PBC (Push Button Configuration).

System WPS wykorzystuje opisany już przeze mnie mechanizm zabezpieczeń

WPA2 i jest kompatybilny z wszystkimi urządzeniami certyfikowanymi przez Wi-Fi

Aliiance do korzystania z 802.11i, jednak w większości wypadków potrzebna będzie

aktualizacja oprogramowania. Od stycznia 2007 organizacja wystawia certyfikaty

zgodności z WPS wszystkim urządzeniom, które pomyślnie przejdą testy zarówno z PIN jak i PBC. Obecnie na rynku jest jedynie kilka punktów dostępu, które mogą wykorzystywać nowy standard. Na dzień dzisiejszy nie można jeszcze w pełni ocenić działania tego standardu, ponieważ urządzenia korzystające z WPS dopiero zaczynają pojawiać się na rynku. Po kilku miesiącach działania będzie można ocenić system w praktyce, a z czasem będą wychodzić wady i zalety tego rozwiązania. Jedyne co można stwierdzić, to że będzie zapewniał taki sam poziom bezpieczeństwa jak WPA2. Jednak moim zdaniem system WPS szybko zostanie złamany. Pomimo zastosowania standardu 802.11i, nowy standard jest zbyt prosty i na pewno zostaną odkryte pewne luki, które pozwolą na nieautoryzowany dostęp lub podsłuch.


Dobre hasło


Często myśląc o dobrym haśle mamy w głowie: hasła do poczty, banków itp. Jednak nawet zabezpieczenie sieci wifi jest istotne. Włamanie się do naszego Access Pointa może przysporzyć nam wiele nieprzyjemności zwłaszcza jeśli poprzez nasz adres IP zostaną rozpowszechnione treści związane z pedofilia lub zostanie użyty do popełnienia przestępstwa.


Ogólne wskazówki dotyczące bezpieczeństwa hasła


  • hasło powinno zawierać minimum 8 znaków (im dłuższe tym lepsze),

  • hasło powinno zawierać znaki wybrane z jak największego zbioru (cyfry, małe litery, duże litery, znaki specjalne itd.),

  • hasło nie powinno opierać się bezpośrednio na realnym słowie lub popularnej kombinacji znaków (np. qwerty),

  • hasło nie powinno opierać się bezpośrednio na danych znanych innym osobom (daty urodzenia, imiona, nr rejestracyjny samochodu itd)

  • nie należy zapisywać hasła w formie jawnej (niezaszyfrowanej),

  • nie należy przesyłać hasła przez internet (np. za pomocą poczty email) w formie jawnej (niezaszyfrowanej),

  • hasło powinno być zmieniane co jakiś czas,

  • nie należy używać tego samego hasła do wielu różnych usług / operacji.

  • nie należy podawać hasła podczas korzystania z niezaufanego komputera.

  • przed wprowadzeniem hasła należy sprawdzić adres oraz zabezpieczenia strony (dotyczy zwłaszcza bankowości internetowej).

Czego NIE należy robić:
• Nie używaj słowa wziętego ze słownika;
Nie używaj imion, dat urodzin, wieku, numerów telefonu, imion zwierząt domowych, nazw drużyn piłkarskich lub czegokolwiek innego, co ma związek z tobą;
• Nie używaj tego samego hasła do różnych celów;
• Nie udostępniaj hasła nikomu innemu. Nigdy.

Jak poznać dobre hasło?


Na każdym szkoleniu związanym z bezpieczeństwem, omawia się zagadnienie doboru dobrego hasła i przy okazji podaje jakich haseł nie wolno używać. Na pewno nie wolno używać haseł prostych, składających się z tylko jednej nazwy, czy stwierdzenia. Dzisiaj standardem jest już tworzenie haseł wieloczłonowych, w których używa się urozmaiconego sposobu zapisu danych. Dla przypomnienia poniżej mniej lub bardziej kompletna lista niebezpiecznych sposobów wymyślania haseł:

  1. Użycie tylko swoich informacji osobistych

Jeśli wydaje Ci się że Twoje imię czy nazwisko czy nawet data urodzenia nie zostaną sprawdzone - mylisz się. Sposobów na zdobycie informacji osobistych są setki, więc nie stosujemy imion, nazwisk, dat urodzenia ani swoich, ani osób nam bliskich (czy również, co częste, imion nadawanych rozmaitym zwierzątkom hodowanym w domu)

  1. użycie tylko nazw własnych

Coca Cola, Sprite, Mercedes, Macintosh - wszystkie te nazwy zostaną sprawdzone w wyniku ataku słownikowego. Nie używaj ich.

  1. użycie tylko cyfr, tylko małych lub dużych liter

Dobre hasło składać się będzie zarówno z cyfr, małych i dużych liter, jak i ze znaków specjalnych (jeśli mechanizm uwierzytelniania na to pozwala). Znaki specjalne to między innymi: !, @, #, $, %, ^, &, *, (, ), [, ], /, ?, \, |, _ czy ~.

W przeciwieństwie do złych haseł, dobre hasło będzie miało następujące cechy:



  1. Będzie mieszanką małych i dużych liter, cyfr i znaków specjalnych, o długości nie mniejszej niż 8 znaków

Kiedyś zakładano nie mniej niż 5, później 6 znaków. Należy założyć, że czym dłuższe hasło tym lepiej, zakładając oczywiście że jesteś w stanie je prawidłowo zapamiętać.

  1. Nie zawiera informacji osobistych

Własne dane wszelkiego rodzaju, dane rodziny, ulubionych zwierzątek, nazwy własne miejsc itp. - należy się ich wystrzegać, bo jeśli nawet zapisane będą wymyślnie, mogą osłabić jakość hasła.

  1. Nie zostało nigdzie zapisane

Nawet jeśli jest to niebywale tajne i osobiste miejsce, zawsze może dojść do jakiegoś nieprzewidzianego wypadku.

  1. Nie ma podejrzeń, że mogło zostać podejrzane podczas wpisywania

Dobrze wybrać długie hasło, ale jednocześnie takie, które jesteśmy w stanie wpisać szybko. Nie zawsze trafimy na przyzwoitych ludzi, którzy gdy będziemy się logować odwrócą głowę.

  1. Nie znajduje się w słowniku

Ani jego odmiana, ani odwrócenie, ani proste zamiany znaków miejscami, ani dodanie pojedyńczych cyfr itp. Programy do łamania haseł wykonują takie testy automatycznie.

  1. Nie jest prostym wzorem

Wpisy typu `1234567890' czy `qwertyuiop' też nie są dobrym pomysłem.


i Ł.Jasiński, “Pomiar tłumienia ścian i innych elementów charakterystycznych dla środowiska wewnątrzbudynkowego w paśmie 2,4 GHz”, Wrocław, 2011

ii http://wireless.idg.pl/artykuly/45535_1.html



1   2   3   4   5   6   7   8


©operacji.org 2017
wyślij wiadomość

    Strona główna