Skip to main content

6.6 Bezpečnosť Wi-Fi sietí

Riziká bezdrôtovej siete

Vzhľadom na skutočnosť, že Wi-Fi sieť a ňou prenášané údaje sú dostupné „vo vzduchu“ v okolí prístupového bodu, je veľmi dôležité dbať na bezpečnosť a riešiť riziká:

  • odchytávanie údajov - na zabránenie je nutné všetky prenášané údaje šifrovať;
  • pripojenie votrelca - do otvorenej alebo slabo zabezpečenej siete sa môže pripojiť ktokoľvek, prístup do siete alebo k sieťovým zdrojom je nutné obmedziť len pre autorizovaných klientov, ktorí prešli dostatočne bezpečnou autentifikáciou;
  • vyradenie služby (DoS) - môže nastať nielen úmyselne (v prípade Wi-Fi sa jedná predovšetkým o deautentifikačný útok), ale napríklad aj z dôvodu preťaženia veľkým počtom klientov, či rušením iných sietí alebo bezdrôtových zariadení;
  • falošný prístupový bod (rogue AP) - neautorizované AP môžu byť prevádzkované nielen narušiteľom (s cieľom útoku MitM - Man in the Middle), ale často i vlastnými klientmi, ktorí si v LAN zapoja svoje Wi-Fi AP a neuvedomujú si potenciálne dôsledky.

Zabezpečenie prístupu k Wi-Fi

Predovšetkým medzi laikmi sú veľmi populárne dva spôsoby „zabezpečenia“ Wi-Fi siete:

  • skrytie SSID - na AP je zakázané vysielanie informácií o Wi-Fi sieti (SSID);
  • filtrovanie MAC adries - na AP je definovaný zoznam MAC adries autorizovaných zariadení, ostatným zariadeniam je prístup odopretý.

Ani jednu z týchto možností však nie je možné pokladať za vyhovujúcu. Adresu MAC je možné podvrhnúť a v dnešnej dobe smartfóny používajú náhodne generované MAC adresy. Skrývanie čohokoľvek (koncept security by obscurity) nie je možné pokladať za skutočné zabezpečenie a navyše „skryté“ SSID je možné zistiť, ako sme si už vysvetlili v kapitole 6.3 Komponenty a princípy Wi-Fi sietí.

Pri konfigurácii prístupového bodu sa môžeme stretnúť aj so zjednodušeným zabezpečením WPS (Wi-Fi Protected Setup) - toto má závažné bezpečnostné nedostatky, preto ho nepoužívame!

Autentifikácia klientov zdieľaným heslom

O skutočnom zabezpečení Wi-Fi siete je možné hovoriť len v prípade autentifikácie pri vstupe do siete. Najjednoduchšou možnosťou je používanie zdieľaného hesla (PSK - Pre-Shared Key) v režime Personal, čo plne vyhovuje pre domácnosti a malé tímy ľudí. Principiálnou slabinou je skutočnosť, že v prípade uniknutia hesla sa pripojí ktokoľvek a nemáme možnosť identifikovať ani pripojeného jednotlivca (vieme len, že sa pripojil „niekto, kto vie heslo“) a ani zistiť, cez koho heslo uniklo (opäť vieme len, že to bol „niekto, kto vedel heslo“).

Komplikovaná je aj politika pravidelnej zmeny hesla, aby nedochádzalo k dlhodobo využiteľnému úniku. Hoci v dnešnej dobe je ju možné realizovať aj automatizovane napríklad každý deň a prístupové údaje je možné sprístupniť aj v podobe QR kódu napríklad na obrazovke pri vstupe, stále pretrváva anonymita.

Autentifikácia EAP a RADIUS server

V podnikovom prostredí, resp. vo veľkých organizáciách, sa používa režim Enterprise s rozšírenou autentifikáciou (EAP - Extensible Authentication Protocol) s autentifikačným serverom RADIUS, na ktorom sú definované prihlasovacie údaje všetkých používateľov - každý má svoje vlastné prihlasovacie meno a heslo. Klient svoje údaje odošle prístupovému bodu (AP), ten ich overí na serveri RADIUS.

MikroTik RouterOS dokáže cez modul User Manager prevádzkovať plnohodnotný RADIUS server - potrebné je výkonnejšie zariadenie s dostatkom pamäte. Nebudeme sa tým však v tomto kurze bližšie zaoberať.

Okrem autentifikácie je možné cez RADIUS riešiť aj autorizáciu a dátové limity (accounting) - preto sa používa aj označenie AAA (Authentication, Authorization and Accounting).

Režim Enterprise má ešte jednu veľkú výhodu - pri autentifikácii si klient môže overiť certifikát AP, teda zistiť, či je toto AP skutočné podnikové alebo je falošné. Je to jediná možnosť, ako sa brániť pred falošným AP.  Má to samozrejme nevýhodu - každé klientske zariadenie musí mať nainštalovaný certifikát AP (resp. verejný kľúč podnikovej certifikačnej autority), čo nie je použiteľné pre náhodných návštevníkov.

Šifrovanie prenosu

Samotný proces autentifikácie a šifrovania (bez ohľadu na to, či sa jedná o režim PSK alebo EAP) má rôzne podoby. V minulosti sa používalo zabezpečenie WEP (Wired Equivalent Privacy) so šifrovaním RC4 a WPA (Wi-Fi Protected Access) so šifrovaním TKIP. Tieto možnosti v dnešnej dobe už nepredstavujú žiadnu prekážku pre narušiteľa. Nutné je použitie zabezpečenia WPA2 so silným šifrovaním AES, prípadne nového WPA3 s ochranou PMF a bezpečným generovaním šifrovacích kľúčov.

Je možné odpočúvať aj Wi-Fi sieť, ktorá je zabezpečená heslom?

Pokiaľ útočník nepozná heslo do Wi-Fi siete, tak nemôže odpočúvať.

No pokiaľ heslo pozná, tak záleží od zabezpečenia. Pri zabezpečenej Wi-Fi sieti si síce AP s každým klientom dohodne iný šifrovací kľúč, no staršie mechanizmy (ako je aj WPA2) nepoužívajú bezpečný mechanizmus výmeny kľúčov, takže pokiaľ je útočník svedkom takejto výmeny a pozná vstupné heslo, dokáže poľahky získať šifrovací kľúč klienta a dešifrovať všetku jeho ďalšiu komunikáciu. Pokiaľ je klient už pripojený a má svoj šifrovací kľúč, útočník na neho použije deautentifikačný útok, čím ho donúti k novej výmene hesla, ktoré si odchytí. Okrem tejto intervencie je útočník úplne pasívny a neodhaliteľný.

Jedine nové zabezpečenie WPA3 bráni odpočúvaniu, pretože AP si s každým klientom vytvára šifrovací kľúč bezpečným spôsobom, pri ktorom ho nie je možné odchytiť (využíva sa protokol SAE = Simultaneous Authentication of Equals, ním sa však nebudeme zaoberať). Pozor však na falošné AP! Pokiaľ ho útočník spustí s rovnakým SSID a heslom, môže odpočúvať všetkých, ktorí sa naň pripoja! Toto je však už aktívny útok, ktorý je možné odhaliť - takéto AP je samozrejme „vidieť“ (vysiela signál) a pomocou meracích nástrojov je ho možné fyzicky lokalizovať.

Zabezpečenie WPA3 prinieslo aj ďalšiu skvelú funkciu - oportunistické šifrovanie OWE (Opportunistic Wireless Encryption) v otvorenej sieti bez hesla. Vďaka tomu nie je možné hromadné odpočúvanie ani v otvorenej sieti. Opäť, pozor na falošné AP!

PMF

PMF (Protected Management Frames) je ochrana riadiacich rámcov a bráni známemu (a bez WPA3 obvykle neriešiteľnému) deautentifikačnému útoku. V ňom ide o to, že útočník dokáže vynútiť odhlásenie akéhokoľvek klienta (obete) - a to nielen zo siete s autentifikáciou, ale aj z otvorenej siete. Môže to byť s cieľom DoS, ale často je cieľom prepojenie klienta na falošný prístupový bod.

Zariadenia MikroTik umožňujú zapnúť ochranu Management Protection aj v bezpečnostnom profile bez WPA3, no keďže je to nad rámec štandardu, je to možné realizovať len medzi zariadeniami MikroTik, teda napríklad na spojení point-to-point - využije sa spoločný kľúč (heslo).

Back to top