LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Zabezpečte si síť - III

Dnešní díl se zabývá problematikou zabezpečení bezdrátových WiFi sítí. Dozvíte se, čeho se při zabezpečování vyvarovat a jak se nedopustit chyb, které mohou vést k narušení vašeho soukromí.

10.8.2010 20:00 | Petr Martinek | Články autora | přečteno 4222×

Znemožnit záškodníkovi odposlech drátové sítě je relativně triviální záležitost, kabely a přípojky sítě jsou obehnány zdmi. U bezdrátové sítě to je mírně obtížnější. Rádiové vlny bezdrátové sítě a v nich obsažené informace, které by měly zůstat uvnitř, prostupují daleko za zdi budov, kde se vystavují citlivým anténám lidí, kteří jsou v jejich dosahu. V horším případě lidem, kteří z toho chtějí něco mít, lidem, co mají nutkání „chytnout“ si nějaká ta data, která přece „jen tak letí kolem“, vytáhnout z nich zajímavé informace a ty potom použít ve svůj prospěch (ve váš neprospěch).

Dva díly z seriálu Zabezpečte si síť věnuji právě problematice bezpečnosti bezdrátových WiFi sítí. V tomto díle vám ukážu, čeho se vyvarovat. Pokud vás po přečtení tohoto dílu opustí „falešný pocit bezpečí“, doporučuji přečíst i díl příští, ve kterém budu řešit už technicky vyspělé šifrovací algoritmy, díky kterým lze zabránit nechtěnému počinu, jenž by se dal přirovnat k rozházení papírů z vašeho šuplete po ulicích kolem domu.

Za prvé chci vyvrátit jednu „pověru“ o bezpečnosti sítě.

Zneužití ARP protokolu v bezdrátové síti

Předvedu na naší (fiktivní) síti (kterou jsem vám představil v prvním díle). Mnoho lidí nevynakládá dostatečné úsilí na zabezpečení své bezdrátové sítě i z toho důvodu, protože si myslí, že když síť není velká a není v ní moc počítačů, je tam třeba jeden jeden notebook nebo mobilní telefon, z kterého se stejně neprovádějí žádné „super tajné“ datové přenosy, ty se přece provádějí na počítačích připojených na drátovou síť, tím pádem citlivá data nelétají jen tak vzduchem a nemůže je nikdo na dálku odposlechnout.

Pravda je ale opakem. Útočník může zneužít ve svůj prospěch (již známou) slabinu v ARP protokolu, díky které dokáže na sebe přesměrovat veškerou komunikaci v síti, tudíž zdůrazňuji i komunikaci v drátové síti. Je to takřka nepředstavitelné, ale záškodník tímto dosáhne toho, že data, která původně „nerušeně“ proudila po drátě, najednou bez naší vůle letí vzduchem a ještě skrz záškodníkův počítač.

Proto doporučuji, nebrat toto na lehkou váhu a zbavit se této zranitelnosti, kterou jsem již řešil v prvním díle, dále toto doporučuji aplikovat i na bezdrátovou síť.

Předpokládám, že na vaší síti již nějaký ten obraný mechanizmus používáte, proto si můžete udělat představu o tom, jestli je pro vás dostatečný, popřípadě zvolit lepší řešení.

Filtrování počítačů pomocí MAC adres

Tento obranný mechanizmus je založen na identifikaci každého počítače svojí jedinečnou MAC adresou. Nepohodlné je to ale proto, že musíte každý nový počítač nastavovat. Nastavení spočívá v tom, že vy nadefinujete routeru povolené MAC adresy. To provedete v nastavení routeru. Nastavení hledejte pod názvem „MAC Filtering“. Nejdříve musíte zjistit MAC adresy všech počítačů, které se budou do bezdrátové sítě připojovat. To provedete například známým příkazem:

Linux: ifconfig

Windows: ipconfig /all

Dále zadáte všechny zjištěné MAC adresy do MAC adres filtru, bude to vypadat asi jako na tomto obrázku.

Poté musíte ještě nastavit, aby MAC adres filtr odmítal všechny ostatní počítače.

Doporučuji tento způsob zabezpečení brát s rezervou popřípadě ho vůbec nepoužívat nebo ho použít pouze v kombinaci s jiným zabezpečením, je totiž velice chabý, vysvětlím proč.

Myslím, že nemusím připomínat, že vůbec neřeší obranu proti odposlechu. Řeší pouze to, aby se do sítě nepřipojil nezvaný host. Ale pokud se onen nezvaný host trochu vyzná, může odposlechnout a zjistit z probíhající komunikace v síti MAC adresy počítačů. Poté si změní svoji MAC adresu na adresu nějakého počítače v síti, za který se může vydávat, tudíž se může plnohodnotně připojit do sítě.

I přesto, že bych tento obranný mechanizmus vůbec nezařadil do kolonky zabezpečení, se docela hojně používá, dokonce i u větších sítí.

Poznámka:

Záškodník může z probíhající komunikace zjistit MAC adresy počítačů, i když je síť chráněna šifrovacím algoritmem (např. WEP).

Verze pro tisk

pridej.cz

 

DISKUZE

Zneužití ARP protokolu v bezdrátové síti 11.8.2010 11:46 Vojtěch Jaroš
  |- MAC + WPA2/PSK 11.8.2010 12:01 Radim Kolář
  |- Re: Zneužití ARP protokolu v bezdrátové síti 11.8.2010 13:31 Petr Martinek
  L Re: Zneužití ARP protokolu v bezdrátové síti 13.8.2010 22:25 Slavko
    |- Re: Zneužití ARP protokolu v bezdrátové síti 16.8.2010 10:37 Petr Martinek
    | L Re: Zneužití ARP protokolu v bezdrátové síti 16.8.2010 12:44 Vojtěch Jaroš
    L Re: Zneužití ARP protokolu v bezdrátové síti 26.8.2010 09:17 Martin 'Armitt' Bartovský




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

5.3.2017 19:12 /Redakce Linuxsoft.cz
PR: 23. března proběhne v Praze konferenci na téma Cloud computing v praxi. Hlavními tématy jsou: Nejžhavější trendy v oblasti cloudu a cloudových řešení, Moderní cloudové služby, Infrastruktura současných cloudů, Efektivní využití cloudu, Nástrahy cloudových řešení a jak se jim vyhnout.
Přidat komentář

27.2.2017 22:12 /František Kučera
Pozvánka na 137. sraz OpenAlt – Praha: Tentokrát jsme si pro vás připravili neobvyklou akci. Ve středu 1.3. v 17:30 nás přivítá sdružení CZ.NIC ve svých prostorách v Milešovské ulici číslo 5 na Praze 3, kde si pro nás připravili krátkou prezentaci jejich činnosti. Následně navštívíme jejich datacentrum pod Žižkovskou věží. Provedou nás prostory, které jsou běžnému smrtelníkovi nedostupné!
Po ukončení prohlídky se všchni odebereme do hostince U vodoucha, Jagelonská 21, Praha 3 pochutnat si na některém z vybraných piv či dát si něco na zub. Rezervaci máme od 19:30, heslo je OpenAlt.
Ale pozor! Do prostor datového centra máme omezený přístup, dostane se tam pouze 10 lidí! Takže kdo přijde dříve, ten má přednost, a občanky s sebou! Kdo nebude chtít na prohlídku datového centra, může se pomalu přesunout do hostince U vodoucha a u nepřeberné nabídky piv počkat na ostatní.
Přidat komentář

18.1.2017 0:49 /František Kučera
Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.
Přidat komentář

8.1.2017 17:51 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 19. ledna od 18:30 v pražském hackerspacu Brmlab. Tentokrát je tématem srazu ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. K vidění bude mechanická klávesnice dasKeyboard, trackball Logitech nebo grafický tablet (a velký touchpad) Wacom. Přineste i vy ukázat svoje zajímavé klávesnice a další HW. V 18:20 je sraz před budovou, v 18:30 jdeme společně dovnitř, je tedy dobré přijít včas. Podle zájmu se později přesuneme do nějaké restaurace v okolí.
Přidat komentář

1.12.2016 22:13 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.
Komentářů: 1

4.9.2016 20:13 /Pavel `Goldenfish' Kysilka
PR: Dne 22.9.2016 proběhne v Praze konference Cloud computing v praxi. Tématy bude např. nejnovější trendy v oblasti cloudu a cloudových řešení, provozování ERP v cloudu, o hostování různých typů softwaru, ale třeba i o zálohování dat nabízeném podnikům formou služby.
Přidat komentář

1.9.2016 11:27 /Honza Javorek
Česká konference o Pythonu, PyCon CZ, stále hledá přednášející skrz dobrovolné přihlášky. Máte-li zajímavé téma, neváhejte a zkuste jej přihlásit, uzávěrka je již 12. září. Konference letos přijímá i přednášky v češtině a nabízí pomoc s přípravou začínajícím speakerům. Řečníci mají navíc vstup zadarmo! Více na webu.
Přidat komentář

27.8.2016 8:55 /Delujek
Dnes po 4 letech komunitního vývoje vyšla diaspora 0.6.0.0
diaspora* je open-source, distribuovaná sociální síť s důrazem na soukromý
Více v oficiálním blog-postu
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

16.3.2017 16:33 / BezvaDesign.cz
Re: Hledám grafika do teamu

9.3.2017 11:44 / Jaromir Obr
Re: chyba

18.1.2017 20:18 / martin horky
Spolupraca linuxu a microsoftu

17.1.2017 9:57 / Pavel Hrubeš
Re: Externí USB televizní karta

4.1.2017 11:24 / Marcum
extension to house

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze