Ob. 21)Zabezpečení-lokálních sítí LAN
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
Protokol RSN pracuje v následujících krocích:
-
Bezdrátová síťová karta (NIC–Network Interface Card) vyšle zprávu Probe Request
-
Bezdrátový přístupový bod (AP–Access Point) vyšle jako odpověď zprávu Probe Response
s rámcem RSN IE (Information Exchange). V RSN IE jsou uloženy všechny podporované:
autentizační sady, unicastové šifrovací sady a multicastové šifrovací sady.
-
NIC si vyžádá autentizaci pomocí jedné z nabídnutých metod.
-
AP pro NIC zprostředkuje autentizaci. NIC se autentizuje vůčiautentizačnímu serveru (pokud
se nejedná o PSK variantu).
-
NIC pošle zprávu Association Request s rámcem RSN IE.
-
AP pošle Association Response.
Skryté SSID
Každé AP vysílá periodicky beacon rámce (typicky každých 100ms), které obsahují identifikátor
bezdrátové sítě
tzv. SSID (Service Set Identifier). Jde o ASCII řetězec délky max. 32 znaků, který používají klienti v
každém rámci určeném pro AP. Všechna bezdrátová zařízení pokoušející se o vzájemnou
komunikaci mezi sebou si musí předávat ten samý SSID. Při vypnutí vysíláníSSID nebudou
beacon rámce tento řetězec obsahovat (přestože na AP bude nadále nastaven) a mohlo by se
zdát, že útočník tím pádem nemá šanci se do dané bezdrátové sítě přihlásit. Nicméně útočníkovi
stačí pouze zachytit libovolný rámec jiného legitimního účastníka a v něm je SSID uloženo v
otevřeném tvaru.Tento způsob ochrany tedy lze jednoduše překonat.
Kontrola MAC adres
Každý síťový adaptér je vybaven unikátní fyzickou adresou svázanou se síťovou kartou. Proto by se mohlo
zdát, že autentizace založená na kontrole MAC adres představuje dobrý způsob autentizace v bezdrátových
sítích. Ale není tomu tak.V dnešních počítačích není těžké si MAC adresu síťového adaptéru změnit a
vydávat se tak za jiného účastníka. Tento útok opět předpokládá zachycení provozu legitimního účastníka a
získání jeho MAC adresy. To je velmi jednoduché, protože MAC adresa je uložena v každém rámci. Po
získání cizí MAC adresy tak útočník pouze počká, až legitimní účastník přestane komunikovat a následně si
změní svojí MAC adresu a může se za něj vydávat. Dalším problémem je fakt, že velikost seznamu
kontrovaných MAC adres u AP je poměrně malá (typicky16-32 záznamů), takže ve větších sítích by tento
mechanismus nešel použít. Nemluvě o skutečnosti, že je potřeba každou novou stanici ručně zadat do
seznamu povolených stanic.
WPS – WiFi Protected Setup
Je volitelný certifikační program Wi-Fi aliance, určený k jednoduchému nastavení a konfiguraci
zabezpečení bezdrátové sítě. WPS bylo představeno v roce 2007 a je určeno pro SOHO (Small
Office – HomeOffice) prostředí. WPS je určeno pro uživatele s nízkou úrovní znalostí konfigurace
Wi-Fi sítě a umožňuje automatickou konfiguraci bezdrátové sítě spolu s jejím zabezpečením.