Autorem odborného článku je Tomáš Přibyl, externí redaktor

Existují desítky tipů, triků a „kuchařek“, kterak co nejvíce zajistit bezpečnost a bezpečí v bezdrátovém světě.

Jejich autoři ale pohříchu často zapomínají, že ne vše je použitelné univerzálně a globálně – a že jejich rady často mohou způsobit více škody než užitku. Svého času se například jako velmi nadějné jevilo filtrování MAC adres (fyzických adres síťových karet) přihlašovaných zařízení. Časem se ale ukázalo, že to není nejsprávnější cesta – přesto se dodnes mnohde používá, protože zvláště v malých sítích je relativně jednoduché. Ovšem nebezpečně běžně se s ním lze setkat i v sítích větších.

Filtrování MAC adres vyžaduje vytvoření a udržování jejich seznamu (buď seznamu zařízení s přístupem povoleným, nebo s přístupem odepřeným), což málokterý správce dělá rád, nicméně na druhé straně jde o velmi účinnou techniku kontroly. Háček je v tom, že MAC (dvanáctimístný číselný kód) adresy lze klonovat – druhý pak v tom, že MAC adresa se často předává v otevřené podobě (takže s jejím zobrazením nemá sniffer problém). A nejde jen o klonování: změnu MAC adresy (např. úpravou na úrovni ethernetového adaptéru) lze provést velmi snadno.

V praxi to znamená, že jakékoliv zařízení, které se představí „tou správnou“ MAC adresou, je automaticky a bez dalšího ptaní vpuštěno do systému. Na první pohled to funguje, neb princip připomíná klasickou znalost hesla – bez něj si prostě neškrtneme. Ale už druhý pohled poukazuje na celou řadu problémů. Především pokud je ověřována toliko MAC adresa, je absolutně nemožné zabránit přihlašování neautorizovaných zařízení do systému.

Další často zmiňovanou radou je skrytí SSID s tím, že případnému útočníkovi jej není potřeba tento identifikátor prozrazovat. Uvádí se, že manuální vkládání do klientských aplikací může být otravné, ale jinak že jde o výborný regulační prvek. Jenže... Neexistuje něco jako „skrytí SSID“ – dá se jen vypnout vysílání SSID na přístupovém bodě. Jenže jsou ale čtyři další mechanismy, jak SSID běžně zjistit (tedy situace, kdy k vysílání SSID dochází): při Probe Requests, Probe Responses, Association Requests a Re-association Requests. Jinými slovy: bavíme se vypnutí jednoho z pěti způsobů přenosu SSID.

Takže: v konečném důsledku nedosáhneme ničeho zásadního, maximálně zkomplikujeme život sami sobě (ve chvíli, kdy potřebujeme, aby klient využíval více přístupových bodů). Další hojně využívanou bezpečnostní technikou u WiFi je autentizace LEAP (Lightweight Extensible Authentication Protocol). Její bezpečnost je postavena na použití silného přihlašovacího hesla, což nemusí být úplně nejšťastnější (sami dobře víte, že čím větší tlak na silnější heslo, tím vyšší a pochopitelná snaha uživatelů obcházet bezpečnostní politiku). I když toto by se nemuselo považovat za námitku proti LEAP autentizaci – slabé heslo je slabé vždy, nejen v tomto případě. Bohužel ale uznávaný bezpečnostní expert Joshua Wright dal veřejně k dispozici nástroj, který dokáže heslo k této autentizaci „rozlousknout“ v řádu minut či hodin. A zde už je něco špatně...

Světlo světa následně spatřila vylepšená verze LEAP, která se jmenuje EAP-FAST. Ta problém s hesly odbourává, ale přidává jiný. Předně je v základním nastavení silně zranitelná. A dále je volně k dispozici toliko pro klienty, nikoliv pro přístupové body. Z tohoto úhlu pohledu se jeví lepší volbou řešení postavené na otevřených standardech a využívajících EAP jako je EAP-TLS, EAP-TTLS či PEAP.

DHCP (Dynamic Host Configuration Protocol) umožňuje automatické přidělování IP adres a dalších konfigurací: často je proto právě vypnutí DHCP doporučováno jako bezpečnostní opatření v případě WiFi. Pravdou ovšem je, že jeho vypnutí vám dá více práce, než jen trochu zkušenému útočníkovi vyřešit IP schéma sítě a jednoduše dosadit svoji vlastní IP adresu. Často také bývá snaha řešit bezpečnost „vhodným“ umístěním antény přístupového bodu, minimalizací vyzařovaného výkonu a redukcí pokrývané plochy. Zní to dobře a svoji logiku to má až do chvíle, kdy si uvědomíme, že o ochranu před interním útočníkem nejde a že vnější bude bezpochyby mít k dispozici dostatečně kvalitní vybavení na to, aby ho slabý signál netrápil. Rozhodně ho bude kvalita signálu trápit méně, než naše uživatele jeho nekvalita. Při instalaci antén by mělo primárně platit, že bychom měli dosáhnout maximálního pokrytí a minimální interference. Ostatně, i směrované antény jsou více o zajištění pokrytí, než o zajištění bezpečnosti. Takže: síla a pokrytí signálu by nikdy neměly být hlavními bezpečnostními nástroji.

Stejně tak je krátkozrakým řešením přechod na 802.11a (či jiný protokol) a nebo Bluetooth (ve srovnání s dříve nejrozšířenějším protokolem 802.11b). Uvědomme si, že jde pouze o fyzický transportní mechanismus, nikoliv o bezpečnostní mechanismus. Jistě, jsou prvky a nastavení, které se v novějších protokolech implementují snadněji, ale nesmíme zapomínat na to, že jde jen o první krok a že skutečnou bezpečnost musíme vybudovat. To, že se rozhodneme pro určitý protokol, ještě neznamená, že automaticky budeme v bezpečí.