Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Největším problém technologie WiFi (Wireless Fidelity) je zejména její prvotní specifikace 801.11b, která byla od počátku koncipována jako firemní síť a na bezpečnost (šifrování apod.) se zase tolik nehledělo. Tato se začala prosazovat až v novějších specifikacích standardu. Neznamená to, že by se podle specifikace 802.11b nedala vybudovat WiFi bezpečná – samozřejmě, že dá, ale mohlo by to být přece jen jednodušší.

Achillova pata WiFi

Často je kladená otázka, proč se novější standard WiFi označuje jako 802.11a, zatímco starší jako „b“. Odpověď je jednoduchá: standard „a“ je totiž ve skutečnosti starší, nicméně technicky náročnější na implementaci, takže jím vybavené produkty přicházejí na trh později. (Což nás ale moc trápit nemusí, protože 802.11a je v Evropě beztak nepovolený standard.) A pro úplnost: WiFi je označením a logem udělovaným výrobkům pracujícím podle standardu IEEE 802.11 (www.ieee.org), které jsou mezi sebou vzájemně propojitelné. O toto označení musí výrobce požádat, nicméně i takto neoznačené výrobky vytvořené podle výše uvedeného standardu by neměly mít problémy při propojení. Přesto se budeme držet zažitého (a „zlidovělého“) označení WiFi.

Vraťme se ale zpět k vlastní bezpečnosti WiFi a začněme od identifikátoru SSID (Service Set Identifier), který z bezpečnostního hlediska často bývá Achillovou patou. Jedná se o řetězec sloužící jako název bezdrátových sítí k jejich rozlišení. Jeho vysílání je opakováno vždy po několika sekundách, což umožňuje snadnou identifikaci sítě. Bohužel ale nejen oprávněným uživatelům a zařízením, ale i těm neoprávněným. Díky SSID zkrátka všichni v dosahu síť „vidí“.

Pokud nemáte přímo zájem vytvořit veřejný přístupový bod, je dobré SSID vypnout. Pro neveřejný přístupový bod vysílání identifikátoru prostě nepotřebujete, klientská zařízení lze nakonfigurovat i bez něj (SSID lze např. manuálně zadat).

Jedním z mála ochranných prvků, kterým WiFi podle standardu 802.11b disponuje, je technologie WEP (Wired Equivalent Privacy – bezpečnost odpovídající fyzickým sítím, někdy nepřesně Wireless Encryption Protocol). Zjednodušeně řečeno, jde o šifrovanou výměnu dat mezi přístupovým bodem (AP, Access Point) a klientským zařízením. Paradoxně se ale může stát (a bohužel také často stává), že je právě WEP velkou slabinou WiFi sítě. A to proto, že WEP využívá symetrické šifrování – přičemž slabinou je výměna šifrovaných a nešifrovaných dat v režimu sdíleného klíče, protože umožňuje útočníkovi dekódování použitého klíče na základě odchycených paketů.

Specifika WiFi

V případě WiFi je zapotřebí mít na paměti především následující skutečnosti:

• Infrastruktura je vystavena stejným hrozbám jako v případě infrastruktury plné kabeláže.

• Případní útočníci získávají několik velkých výhod, a to třeba možnost obejít firewall i další ochranné prvky a zaútočit proti některému zranitelnému bodu sítě (toto je jeden z důvodů, proč jsou v posledních době bezpečnostními specialisty tak prosazované i personální firewally na jednotlivých stanicích v síti).

• Citlivé informace předávané v nešifrované podobě jsou přímo vystavené útokům.

• Velmi snadné je odcizení identity nebo jakýchkoliv jiných identifikačních údajů.

• Může dojít také k poškození soukromí legitimních uživatelů – třeba sledováním jejich pohybu nebo prosté přítomnosti.

• Velmi snadno lze instalovat neautorizované vybavení. Útočník se nemusí fyzicky k ničemu fyzicky připojovat – tím pádem nabývá nový rozměr i kontrola fyzického přístupu.

• Z nesprávně nakonfigurovaných a spravovaných zařízení mohou být odcizena citlivá data. V podstatě každé zařízení využívající bezdrátové technologie se tak stává potencionálně nebezpečným místem.

Autentizace zařízení

Závěrem ještě pár slov k autentizaci klientských zařízení v prostředí WiFi. Původně se používalo ověřování toliko na základě přihlašovacího jména a hesla, což ale z mnoha důvodů není dostatečně silné. Proto vznikl ověřovací protokol EAP (Extended Authentication Protocol), který se skládá ze tří částí. Kromě klientského zařízení žádajícího ověření a přístupového bodu je to ještě ověřovací server. Ten má za úkol ověřovat jednotlivé požadavky pro přihlášení do sítě a buď je zamítat nebo povolovat.

Protokol EAP funguje tak, že vyskytne-li se v dosahu přístupového bodu nějaké bezdrátové zařízení, které zná SSID příslušné sítě, je vyslaný požadavek na jeho identifikaci. Jakmile je identifikace obdržena, je podstoupena ověřovacímu serveru. Pokud tento komunikaci povolí, je otevřen příslušný port. Na rozdíl od WEP šifrování jsou v tomto případě využívány dynamické klíče – a tyto jsou navíc pro jednotlivá klientská zařízení různé.