Maximum bezpečnosti pro WLAN

Archiv | 01.01.07

Zabraňte hackerům v průniku do Wi-Fi sítě Díky WLAN můžete dát sbohem změti kabelů: získáte bezdrátový...







Zabraňte hackerům v průniku do Wi-Fi sítě



Díky WLAN můžete dát sbohem změti kabelů: získáte bezdrátový přístup na internet a můžete své počítače propojit do sítě. Hackeři však znají celou řadu triků, jak se i touto cestou dostat k vašim datům nebo třeba surfovat přes vaši linku. Ale stačí několik nastavení, která vám pomohou se chránit.
Instalace WLAN je velmi jednoduchá pokud se držíte nastavení výrobce routeru a síťové karty. Do takové sítě je pak ovšem také velmi snadné se nabourat. Koneckonců vše funguje bezdrátově. Když je síť nechráněná, může se na ni napojit kdokoliv v dosahu přístupového bodu nebo routeru. Může být pak docela k vzteku, když je váš sjednaný objem dat vyčerpaný hned na začátku měsíce, protože váš přístup používá i soused. Mnohem horší následky to má v případě, kdy někdo přes váš přístup na web stahuje ilegální data. Pak by se mohlo stát, že jednoho dne budete muset vysvětlovat policii, že nemáte ani tušení, kdo tato data přes váš účet stahoval. A kdo by si přál, aby někdo jiný, nějaký nezvaný host, si četl spolu s ním právě otevírané stránky? Určitě byste si rádi ponechali pro sebe i data pro přístup do banky a do aukcí Ebay stejně i číslo kreditní karty je určeno jen pro on-line obchod, ve kterém nakupujete. Měli byste tedy využívat všechny funkce, jimiž můžete svou síť chránit před vniknutím neoprávněného uživatele.
Vysvětlíme si proto konkrétně, jak musíte síť nastavit, abyste znemožnili hackerům prohlížet si vaše PC nebo jim zabránili používat vaše internetové připojení.

Útoky hackerů

1. Riskantní základní nastavení

Výrobci to hackerům v základní konfiguraci přístupového bodu, respektive routeru dosti usnadňují: většinou není aktivní žádné šifrování. Identifikátor Wi-Fi sítě (SSID: Service Set Identifier) je nastaven na Default, popřípadě na jméno výrobce. IP adresy, které zařízení přidělují, se pohybují v rozsahu 192.168.0.0 a 192.168.0.255, ačkoliv je k dispozici mnohem větší rozsah od 192. 168.0.0 do 192.168.255.255. Chce-li někdo nezvaný proniknout do sítě, nemusí tedy ani zkoušet mnoho kombinací, obzvláště když zná standardní rozsahy adres rozšířených routerů. Kromě toho síť při počátečním nastavení akceptuje všechny síťové karty, protože autentizace na bázi MAC adres je vypnutá. Pokud ji aktivujete, mají k síti přístup jen ty počítače, které se předtím jednoznačně přihlásily.
Jestliže ponecháte tato standardní nastavení, pak se vaše síť stane snadnou kořistí i pro amatérské hackery. O změně konfigurace své WLAN tak, aby byla bezpečná, se dočtete dále.

2. Sniffery

Hackeři mají k dispozici velmi bohatý arzenál rafinovaných nástrojů, s nimiž mohou zahájit útok na vaši síť. Obzvláště tehdy, když sdílíte síť s více uživateli, je velmi užitečné pomocí těchto nástrojů sám vyzkoušet, zda je proti útokům dostatečně chráněná.
Existují programy zvané sniffery, jež vyhledávají sítě WLAN, odposlouchávají je a rovněž dekódují WEP šifrování. Příklady podobných programů jsou Wellenreiter (www.wellenreiter. net) nebo Kismet (www.kismetwireless.net). Oba nástroje běží pod Linuxem a fungují jen s některými profesionálními bezdrátovými kartami mimo jiné Proxim Orinoco 11b/g PC Card Gold World, D-Link DWL-G650 nebo Cisco Aironet Cardbus Adapter.
Sniffer pro Windows se jmenuje Netstumbler (www.netstumbler.com) a funguje s mnoha běžnými kartami. S podobným nástrojem je hračkou identifikovat WLAN a získat podstatné informace, jako je například SSID.

3. Dlouhé uši

Hackeři většinou nepracují s drobnými standardními anténami mobilních karet WLAN, nýbrž používají směrové antény, které mají podstatně větší dosah. Proto není vaše síť bezpečná například dokonce ani tehdy, když se svým notebookem nechytnete WLAN už na zahradě.
Zesilovací anténa za pomoci snifferu vyhledá sítě WLAN na kilometry daleko (např. anténa D-Link ANT-24-2100 se ziskem 21 dB). Pro hackera tedy není žádný problém zabývat se vaší sítí v autě dole na ulici.
I když někdo nechce investovat peníze do drahé antény, může si směrovou anténu opatřit jinak. Na internetu je možné najít v angličtině návody na amatérské sestrojení směrových antén například na www.turnpoint.net/wireless/cantennahowto.html a www.nodomainname.co.uk/ cantenna/cantenna.htm.

4. WEP přináší málo užitku

Váš router nabízí mimo jiné šifrování WEP. Ale tento standard je již dávno prolomený. Pokud má útočník možnost odposlouchat dostatečné množství dat z určité WLAN, může vypočítat používané heslo například pomocí nástroje Airsnort pro Linux a Windows (http://airsnort.shmoo. com, funguje jen s určitými profesionálními kartami WLAN). A když má hacker klíč, jsou mu dveře vaší sítě otevřeny dokořán. Neboť nyní může zcela jednoduchou analýzou zaznamenaných datových paketů získat informace o systémech, podílejících se na provozu sítě. Pokud se nejedná o příliš komplexní síť, je přístup do ní relativně snadný. Hacker nastaví vlastní počítač na IP adresu, která se v odposlouchávaném toku dat nevyskytla, takže je pravděpodobně volná, ještě rozluští masku podsítě (ta je většinou "255. 255.255.0"), a je v síti. Potom se dostane rovněž k dalším heslům například k vašim údajům pro přístup na Ebay.
Podle frekvence výskytu určitých paketů a jejich vlastností (používané protokoly a porty) může hacker kromě toho usoudit, jaká je funkce jednotlivých síťových počítačů, skrytých za rovněž zaznamenanými IP adresami. Podrobnosti najdete v tabulce na straně 100. Čím více toho vetřelec ví, tím cíleněji může vést další útoky například na poštovní nebo souborový server.

Jak učinit síť WLAN bezpečnou

5. Aktualizujte firmware
Ať již svůj router vlastníte delší dobu nebo jste si právě koupili nový, obstarejte si v každém případě aktuální firmware. Nejbezpečněji update provedete přes drátový přístup k internetu (přes kabel).
Upozornění: U mnoha zařízení vede nahrání nového firmwaru ke ztrátě dosavadních nastavení. Proto provádějte update u nového počítače ještě před podrobným konfigurováním sítě. Při pozdější aktualizaci byste si měli udělat několik poznámek o struktuře.

6. Chraňte router

Nejbezpečněji si síť nakonfigurujete při kabelovém propojení. Přinejmenším jedno PC byste přitom měli spojit s routerem síťovým kabelem: pak můžete deaktivovat bezdrátovou konfiguraci zařízení a zamezit přístupu ke konfiguračnímu menu zvenčí. Pouze když má někdo přístup k vašemu PC, může například nenápadně změnit povolený rozsah IP adres (viz bod 8 níže).

7. Pryč se standardy

Při zřizování WLAN byste měli změnit původní konfiguraci zařízení. Pokud ponecháte hesla (bod 11) a SSID od výrobce, nemusí útočník hledat dlouho (bod 1). Ten, kdo zná SSID, se může spojit s routerem. Zvolte proto takový znakový řetězec, jež se nedá prolomit slovníkovým útokem. Měl by mít alespoň devět znaků a sestávat z písmen a číslic maximální délka je 32 znaků.
Dále v routeru vypněte funkci SSID broadcasting (někdy místo toho musíte aktivovat "protected/hidden SSID"). Jinak je zařízením pravidelně vysílán identifikátor SSID. To sice činí zapojení nových počítačů pohodlnějším, avšak zároveň servíruje hackerům informace takříkajíc na stříbrném podnose. Proto si SSID raději poznamenejte a zadávejte ho v případě potřeby ručně. Pak se již totiž při instalování v seznamu dostupných WLAN nezobrazí.

8. Používejte méně časté IP adresy

Běžně se lokální síť provozuje s IP adresami 192.168.xxx.xxx. Výrobci podle toho nastavují svoje produkty většinou dokonce pro mnohem menší adresní prostor 192.168.0.xxx.
Tím zase o něco zjednodušují práci hackerům. Měli byste se proto od tohoto kvazistandardu zřetelně odlišit a svoji síť trochu schovat. Neboť existuje ještě druhý adresní prostor, který je pro soukromé IP adresy povolený tedy adresy, které se neobjevují na internetu: 10.xxx.xxx.xxx. Tento adresní prostor se využívá mnohem méně a má tu výhodu, že poskytuje 256krát více adres. To pro nezvané hosty znamená mnoho práce s vyhledáváním.
Můžete nastavit router například na adresu 10.34.76.98 a jednotlivým počítačům přidělit IP adresy 10.34.76.100 až 10.34.76.126. Přinejmenším ti hackeři, kteří mají naspěch, už vaši síť nenajdou.

9. Deaktivujte DHCP

Standardně jsou routery nastaveny tak, že přidělují IP adresy z předem zvoleného rozsahu (bod 8) automaticky přes DHCP. To znamená: zařízení se ohlásí routeru a přes DHCP dostane přidělenu IP adresu, kterou může používat až do svého vypnutí. Server DHCP se tedy automaticky stará o to, aby žádná IP adresa neexistovala dvakrát. To celou věc zjednodušuje ovšem i pro vetřelce: kartě WLAN se přes DHCP přidělí funkční IP adresa a je jedno, zda karta patří vám nebo hackerovi před domem.
Přidělte proto počítačům v síti WLAN pevné IP adresy a deaktivujte DHCP v routeru. Tím útočníkovi podstatně zkomplikujete proniknutí do své sítě, dokonce i samotná analýza struktury pro něj bude výrazně složitější, neboť hacker potřebuje volnou a použitelnou IP adresu ve vámi povoleném rozsahu adres v příkladu z bodu 8 jsou to adresy od 10.34.76.100 do 10.34.76.126.
Pokud však router novým zařízením v síti WLAN žádnou IP adresu nepřidělí, musí útočník nejprve vyhodnotit velké množství datových paketů, aby zjistil, kterou IP adresu by mohl používat. Pravděpodobnost, že hacker proto potáhne znuděně o dům dál, je vysoká. Jestliže totiž použije adresu, která je již obsazena běžícím počítačem, provoz v síti se naruší. Odposlech však není možný nebo je možný jen s velkými obtížemi, protože není jisté, který z dotyčných počítačů se stejnou IP adresou datový paket směrovaný na tuto adresu nyní obdrží.

10. Kontrolujte MAC adresy

Jsou-li ve vaší WLAN zapojena stále stejná zařízení, můžete jako další bezpečnostní mechanizmus bez omezení pohodlí aktivovat autentizaci na bázi MAC adres. Každé aktivní síťové rozhraní, například u routeru, síťové karty, karty WLAN, printserveru nebo přístupového bodu, má celosvětově jednoznačný identifikátor: adresu MAC (Media Access Control). U síťových karet ve Windows ji najdete pod Start, Nastavení, Síťová připojení. Klikněte pravým tlačítkem myši na síťové připojení a zvolte Stav, záložku Podpora, Podrobnosti. Hledaná informace je uvedena pod fyzickou adresou ve tvaru xx-xx-xx-xx-xx-xx.
Poté, co jste aktivovali autentizaci, zapište do konfigurace routeru MAC adresy zařízení, kterým chcete spojení povolit.
Chcete-li zjistit výrobce určitého zařízení například kvůli aktualizaci firmwaru, zadejte MAC adresu na webové stránce www.techzoom.net/mac/index.asp tam hledanou informaci najdete.
Zkušení hackeři mohou pro útoky příslušnými nástroji a komponentami použít jinou MAC adresu než tu stanovenou takzvaný MAC spoofing. Přesto však tímto ochranným mechanizmem práh pro proniknutí do své sítě o něco zvyšujete koneckonců musí hacker nejprve zjistit, které MAC adresy jste zapsali.

11. Dokonalé heslo

I když heslo je pouze jednou z překážek, neměli byste to potenciálním vetřelcům usnadňovat ani v tomto bodě.
Heslo, které je příliš jednoduché, je rychle překonáno. Aby představovalo dobrou ochranu proti hackerským pokusům, nesmí být příliš krátké. Měla by se v něm vyskytovat velká a malá písmena i číslice. Ale komplikované heslo si možná nezapamatujete a poznamenané na papír také nepatří k nejbezpečnějším řešením. Existuje ovšem užitečný trik: větu si lze zapamatovat snadněji než kryptickou kombinaci písmen. Ten, kdo sestaví heslo z počátečních písmen nějaké věty, na snadno zapamatovatelných místech použije velká/malá písmena a zvláštní znaky a navíc některá písmena nahradí číslicemi, udělá pro svoji bezpečnost skutečně hodně. Pokud si přitom vytvoříte určitá pravidla, můžete si výsledek i dobře zapamatovat. Například místo předložky "pro" použijte číslici 4 vždyť anglické "for" zní skoro stejně jako "four". Podobně to platí pro "pět" a "5" (například "Z5" jako "zpět") nebo "jeden" a "1".
Případně se inspirujte tvarem písmen. Například můžete nahradit "E" číslicí "3", "S" pětkou nebo písmeno "l" číslicí "1".
Příklad "rd5Hj4hpF!" vychází z věty "Rozluštit dobře sestavené heslo je pro hackera pořádná fuška!". Povolte prostě uzdu fantazii. Důležité je, abyste nepoužili žádné přísloví nebo oblíbený citát to by bylo opět příliš jednoduché.
Úplná věta jako heslo však také není vhodná i když je pak heslo mnohem delší neboť věty lze snadno rozluštit přes slovníkové útoky.

12. Zašifrujte síť pomocí WPA

Poté, co jste si vymysleli bezpečné heslo, si ještě musíte zvolit správné šifrování. WEP není bezpečným řešením (viz bod 4) bez ohledu na to, jak složité je heslo. V současné době je za bezpečný považován standard WPA/WPA2 (Wi-Fi Protected Access), pokud heslo není triviální a je dostatečně dlouhé. Mělo by mít alespoň 30 znaků.
WPA(2) má však jednu nevýhodu: bezpečné zašifrování spojení snižuje jeho přenosovou rychlost a vyžaduje od připojených PC větší výkon. Protože se u WLAN ale téměř vždy jedná o internetové spojení, nehraje to v praxi skoro žádnou roli pouze když chcete přenést z jednoho PC na druhé extrémně velké množství dat, musíte čekat déle. Pro tento případ se ale vyplatí se alespoň krátkodobě připojit k "drátové" síti switch a kabely pro připojení PC stojí dohromady okolo 1 500 Kč. Protože drátové spojení není závislé na radiovém signálu, nelze je ani odposlouchávat a při zaručených 100 Mb/s jde o velmi rychlý přenos dat. A potřebnými připojovacími zdířkami jsou moderní notebooky a PC stejně vybaveny.

13. Používejte firewall

Ve většině routerů je integrována funkce firewallu, kterou byste měli rovněž aktivovat. Tímto způsobem může router odvrátit nejčastější útoky z internetu sám. Vždyť i ostatní počítače ve vaší síti jsou vystaveny útokům, které jsou vedeny přes internet. A firewall routeru proti nim poskytuje obzvláště spolehlivou ochranu.

14. Povolte jen to nejnutnější

Nastavte firewall tak, aby povoloval jen ta spojení, která skutečně potřebujete. Spojení PC se službami na internetu fungují přes určité identifikátory, jež se nazývají porty. Například webový server odpovídá na dotazy na portu 80, poštovní server přijímá e-maily na portu 25. Když některý port uzavřete, zabráníte přístupu k této službě v síti. Rovněž škůdci, například trojští koně, potřebují porty pro vytvoření spojení z vašeho PC na internet. Nebo jsou řízeni přes otevřené porty zvenčí.
Informace o tom, které porty musíte mít stále otevřené a které byste měli zavřít, najdete v tabulce dole. Používáte-li programy, jež potřebují další porty, musíte je ve firewallu otevřít. Jak to celé funguje si ukážeme v bodě 15 o protokolu Bit Torrent pro sdílení souborů.

15. Bit Torrent za firewallem

Jestliže chcete stahovat z internetu velké soubory, například volně dostupné filmy nebo distribuci Linuxu, nabízí se protokol Bit Torrent a pro něj určený klient (www.bittorrent.com, 5,7 MB). Využívá ho i oblíbená on-line hra World of Warcraft, aby bylo možné efektivně distribuovat záplaty o velikosti několika stovek MB. Problém je v tom, že za standardně konfigurovaným firewallem nefunguje Bit Torrent vůbec nebo jen velmi pomalu. Aby Bit Torrent mohl běžet plným tempem rozuměj maximální rychlostí dostupného internetového spojení musíte firewall nejprve vhodně nastavit. Port 6969 musí být otevřený v obou směrech. U hry World of Warcraft to platí pro port 3724. Tyto porty slouží pro komunikaci s tracker serverem, který koordinuje stahování. V obou případech musíte dále otevřít pro oba směry porty 6881 až 6889, přes něž probíhá vlastní výměna dat.
Všechny porty musíte pomocí port forwardingu vždy přesměrovat na IP adresu počítače, který chcete pro Bit Torrent nakonfigurovat. Fungování port forwardingu je popsáno v manuálu k routeru. Přikážete tak firewallu, aby všechny příchozí datové pakety pro tyto porty přesměroval na PC s uvedenou interní IP adresou.
Nezapomeňte, že PC, z něhož chcete Bit Torrent používat, musí při každém spuštění obdržet stejnou IP adresu, protože jinak byste museli firewall po každém dalším startu PC znovu nastavovat. Informace o tom, jak a které IP adresy byste měli pro manuální přidělování používat, najdete v bodech 8 a 9.6 0551/ZAJ o

Sledování sítě WLAN pomocí Kismetu

Pro vyhledání případných bezpečnostních děr ve své WLAN můžete použít například distribuci linuxu WarLinux (sourceforge.net/projects/warlinux/). Ústředním nástrojem linuxového systému je sniffer s názvem Kismet, zmíněný v bodu 2 (GPL software, v anglické verzi, www.kismetwireless.net). Po spuštění vás WarLinux uvítá úvodním textem, který obsahuje seznam podporovaných čipových sad pro WLAN. Když do notebooku vložíte kartu PCMCIA, objeví se ihned hlášení, zda byl váš hardware pro WLAN rozpoznán. To platí rovněž pro vaši kartu PCI, kterou potřebujete k desktopu.
Použití Kismetu: Spusťte Kismet přes příkazový řádek příkazem stejného jména (malými písmeny). Program odposlouchává všechny sítě WLAN nalezené v okolí a sestavuje seznam rozpoznaných routerů WLAN. Tak můžete například zjistit, zda je váš identifikátor SSID (bod 1) skutečně skrytý. Kismet ho v takovém případě zobrazuje jako Hidden. Rovněž rozesílané datové pakety, které Kismet nalezne, se označují jako šifrované nebo nešifrované.
Detektivní práce: Program dále odhaluje pokusy o vniknutí do sítě, slouží tedy jako Intrusion Detection System (IDS). Například vás upozorní, když se do vaší sítě pokouší dostat hacker s programem Wellenreiter (bod 1). Objeví se pak toto hlášení: Wellenreiter probe detected from <MAC adresa útočníka>.
Podpora: Stisknutím klávesy <H> vyvoláte nápovědu k programu. Rozsáhlou dokumentaci k nástroji najdete na webové stránce Kismetu. Tento program rovněž obsahuje většina aktuálních distribucí Linuxu, například Ubuntu a SuSE.
Port forwarding jak to funguje
Jestliže přistupujete do internetu přes směrovač (router), můžete k němu připojit v rámci WLAN nebo kabelem několik PC nebo notebooků. Při přihlašování k internetu dostane router od vašeho internetového providera přidělenu IP adresu, která je v daný okamžik celosvětově jedinečná. Počítače, které router spravuje, mají naproti tomu interní IP adresy, jež platí pouze v síti. Když některý z těchto síťových počítačů vyšle požadavek na data z internetu, poznamená si router jeho interní IP adresu. Díky tomu může data přijatá z internetu příslušnému počítači bez problémů předat.
U speciálních služeb například u protokolu Bit Torrent pro sdílení souborů nebo u VolP telefonátů to nefunguje: tady dostává router z internetu datové pakety, o které předem žádný ze síťových počítačů nežádal.
Pro vyřešení tohoto problému existuje takzvaný port forwarding (přesměrování portů). Jednoduše řečeno, jde o nastavení, na kterou interní IP adresu má router přesměrovávat pokusy o kontakt, které přicházejí z internetu na určité porty routeru. Tímto nastavením je počítač v síti dosažitelný z internetu.
Některé služby probíhají jen přes stanovené porty: například webový protokol HTTP komunikuje přes port 80 (viz tabulku na konci článku).
Upozornění: Port forwarding byste měli používat opatrně; čím více portů otevřete, tím děravější je ochrana poskytovaná bránou firewall na routeru. Neboť pokud není pro určitý port forwarding aktivován, ignoruje firewall pokus o kontakt z internetu nepovolený přístup není možný.

Porty a jejich funkce

Následující porty musejí být otevřené
PortOznačeníPopis
20FTP datapřístup na server FTP*)
21FTP správapřístup na server FTP*)
25SMTPodesílání e-mailů
53DNSURL se překládá na IP adresu
80HTTPpřístup na webový server
110POP3přístup do vaší poštovní schránky na mailserveru
443HTTPSpřístup na bezpečné webové servery (např. banky)
Tyto porty by měly být zavřené
PortOznačeníPopis
23Telnetřízení počítače zvenčí
135Netbios: DCE Endpoint Resolutioobecně: přístup k PC s Windows
137Netbios Name Service možné místo útoku
138Netbios Datagram Servicemožné místo útoku
139Netbios Session Servicemožné místo útoku
445Microsoft-DSpřístup k funkcím služby Active Directory (zpřístupnění souborů ve Windows)
*) Tyto porty otevřete pouze dočasně, když potřebujete například umístit data na webový server.













Komentáře

K tomuto článku není připojena žádná diskuze, nebo byla zakázána.