Test Access Pointů: úvod do problematiky
Celý test začneme obecným úvodem, který blíže seznámí s celou problematikou okolo bezdrátových sítí, často kladenými otázkami a užitečnými kalkulátory. Po víkendu si již můžete přečíst recenze jednotlivých Access Pointů.
Kapitoly článku:
- Test Access Pointů: úvod do problematiky
- Standardy a druhy přenosů
- Bezpečnost v bezdrátových sítích
- Dosah bezdrátových sítí
- Často kladené otázky
- Praktické kalkulátory pro WiFi výpočty
Pokud mluvíme o zabezpečení bezdrátových sítí, pak je potřeba rozlišovat dvě věci. Jako první autentizaci uživatele, která slouží pro umožnění přístupu do bezdrátové sítě a za druhé potom šifrování přenášených dat.
SSID
SSID (Service Set ID) je logické označení dané bezdrátové podsítě (obsluhované konkrétním access pointem). Můžeme jej buď zadat při konfiguraci stanice, či jej může access point pravidelně vysílat a poslední možnost je vypnout vysílání SSID s tím, že se na něj Access Point sám dotáže.
Pozn.: Typicky bývá SSID nastaven na nějakou výchozí hodnotu např. "default" či třeba "ovislink".
WEP
Bezpečnostní standard WEP (Wired Equivalent Privacy) vznikl jako doplněk specifikace 802.11b. V případě použití tohoto protokolu je použit 40-bitový klíč pro ověření totožnosti (autentizace), který je stejný pro všechny uživatele (sdílený klíč). Jednotlivé stanice využívají tento klíč společně se svojí MAC adresou a ověřují tak svoji totožnost u konkrétního Access Pointu.
V případě volby šifrování se používá 64 či 128–bitového klíče. V prvním případě je použit 40-bitový sdílený klíč a vektor o délce 24-bitů (initialization vector), který se mění s každým přeneseným paketem. V případě 128-bitového klíče, má sdílený klíč délku 104 bitů a vektor opět 24 bitů. Jako šifrovací algoritmus je zde použita šifra RC4.
Pozn.: Při testech access pointů jsem se bez jakýchkoli problémů připojil do nezabezpečené bezdrátové sítě, která je dostupná z naší kanceláře. Takto to dopadá, když se nikdo neobtěžuje zapnout alespoň WEP ochranu.
WPA
Standard WPA vznikl jako podmnožina připravované normy 802.11i v době, kdy prolomení zabezpečení WEP bylo otázkou potřebného vybavení, stažení volně dostupného software (AirSnort či WEPcrack), několika hodin až desítek hodin odposlechu a nakonecpár sekund či minut výpočtu hesla. Na rozdíl od zabezpečení WEP, které využívá autentizaci statickým klíčem je v tomto případě využito pro autentizaci uživatele podle 802.1x (definuje obecnou bezpečnostní politiku v sítích LAN), EAP (Extensible Authentication Protocol), nebo PSK (PreShared Key). Šifrování je oproti standardu WEP výrazně posíleno využitím nového protokolu s využitím dynamického klíče – TKIP (Temporal Key Integrity Protocol).
802.11i (WPA2)
Norma 802.11i, která je všeobecně známá jako WPA2 nezlepšuje možnosti autentizace, ale zato vylepšuje možnosti šifrovaní díky použití nového šifrovacího standardu AES (Advanced Encryption Standard). Jeho nevýhoda však spočívá ve zvýšené náročnosti na hardware, takže není zaručeno, že pro přechod na toto šifrování bude stačit pouhý upgrade firmware (v praxi však jde většinou spíše o marketingovou mlhu a záměr výrobce donutit zákazníka, aby místo upgrade firmware Access Pointu musel koupit nový, který již 802.11i standard podporuje).
Pro velice podrobné seznámení s problematikou bezpečnosti v bezdrátových sítích doporučuji všem zájemcům tyto dva články na serveru Lupa:
SSID
SSID (Service Set ID) je logické označení dané bezdrátové podsítě (obsluhované konkrétním access pointem). Můžeme jej buď zadat při konfiguraci stanice, či jej může access point pravidelně vysílat a poslední možnost je vypnout vysílání SSID s tím, že se na něj Access Point sám dotáže.
Pozn.: Typicky bývá SSID nastaven na nějakou výchozí hodnotu např. "default" či třeba "ovislink".
WEP
Bezpečnostní standard WEP (Wired Equivalent Privacy) vznikl jako doplněk specifikace 802.11b. V případě použití tohoto protokolu je použit 40-bitový klíč pro ověření totožnosti (autentizace), který je stejný pro všechny uživatele (sdílený klíč). Jednotlivé stanice využívají tento klíč společně se svojí MAC adresou a ověřují tak svoji totožnost u konkrétního Access Pointu.
V případě volby šifrování se používá 64 či 128–bitového klíče. V prvním případě je použit 40-bitový sdílený klíč a vektor o délce 24-bitů (initialization vector), který se mění s každým přeneseným paketem. V případě 128-bitového klíče, má sdílený klíč délku 104 bitů a vektor opět 24 bitů. Jako šifrovací algoritmus je zde použita šifra RC4.
Pozn.: Při testech access pointů jsem se bez jakýchkoli problémů připojil do nezabezpečené bezdrátové sítě, která je dostupná z naší kanceláře. Takto to dopadá, když se nikdo neobtěžuje zapnout alespoň WEP ochranu.
WPA
Standard WPA vznikl jako podmnožina připravované normy 802.11i v době, kdy prolomení zabezpečení WEP bylo otázkou potřebného vybavení, stažení volně dostupného software (AirSnort či WEPcrack), několika hodin až desítek hodin odposlechu a nakonecpár sekund či minut výpočtu hesla. Na rozdíl od zabezpečení WEP, které využívá autentizaci statickým klíčem je v tomto případě využito pro autentizaci uživatele podle 802.1x (definuje obecnou bezpečnostní politiku v sítích LAN), EAP (Extensible Authentication Protocol), nebo PSK (PreShared Key). Šifrování je oproti standardu WEP výrazně posíleno využitím nového protokolu s využitím dynamického klíče – TKIP (Temporal Key Integrity Protocol).
802.11i (WPA2)
Norma 802.11i, která je všeobecně známá jako WPA2 nezlepšuje možnosti autentizace, ale zato vylepšuje možnosti šifrovaní díky použití nového šifrovacího standardu AES (Advanced Encryption Standard). Jeho nevýhoda však spočívá ve zvýšené náročnosti na hardware, takže není zaručeno, že pro přechod na toto šifrování bude stačit pouhý upgrade firmware (v praxi však jde většinou spíše o marketingovou mlhu a záměr výrobce donutit zákazníka, aby místo upgrade firmware Access Pointu musel koupit nový, který již 802.11i standard podporuje).
 | WEP | WPA | 802.11i (WPA2) |
| autentizace | 40-bitový sdílený klíč | 802.1x, EAP. PSK | |
| šifrování | statický klíč | dynamický klíč (TKIP) | AES |
Tab. 1 – Srovnání WEP, WPA a 802.11i
Pro velice podrobné seznámení s problematikou bezpečnosti v bezdrátových sítích doporučuji všem zájemcům tyto dva články na serveru Lupa:
