Ob. 21)Zabezpečení-lokálních sítí LAN

Protokol RSN pracuje v následujících krocích: 
 

-

Bezdrátová síťová karta (NIC–Network Interface Card) vyšle zprávu Probe Request 

-

Bezdrátový přístupový bod (AP–Access Point) vyšle jako odpověď zprávu Probe Response 
s rámcem RSN IE (Information Exchange). V RSN IE jsou uloženy všechny podporované: 
autentizační sady, unicastové šifrovací sady a multicastové šifrovací sady. 

-

NIC si vyžádá autentizaci pomocí jedné z nabídnutých metod. 

-

AP pro NIC zprostředkuje autentizaci. NIC se autentizuje vůčiautentizačnímu serveru (pokud 
se nejedná o PSK variantu). 

-

NIC pošle zprávu Association Request s rámcem RSN IE. 

-

AP pošle Association Response. 

Skryté SSID 

Každé AP vysílá periodicky beacon rámce (typicky každých 100ms), které obsahují identifikátor 
bezdrátové sítě 
tzv. SSID (Service Set Identifier). Jde o ASCII řetězec délky max. 32 znaků, který používají klienti v 
každém rámci určeném pro AP. Všechna bezdrátová zařízení pokoušející se o vzájemnou 
komunikaci mezi sebou si musí předávat ten samý SSID. Při vypnutí vysíláníSSID nebudou 
beacon rámce tento řetězec obsahovat (přestože na AP bude nadále nastaven) a mohlo by se 
zdát, že útočník tím pádem nemá šanci se do dané bezdrátové sítě přihlásit. Nicméně útočníkovi 

stačí pouze zachytit libovolný rámec jiného legitimního účastníka a v něm je SSID uloženo v 
otevřeném tvaru.Tento způsob ochrany tedy lze jednoduše překonat. 
 
 

Kontrola MAC adres 

Každý síťový adaptér je vybaven unikátní fyzickou adresou svázanou se síťovou kartou. Proto by se mohlo 
zdát, že autentizace založená na kontrole MAC adres představuje dobrý způsob autentizace v bezdrátových 
sítích. Ale není tomu tak.V dnešních počítačích není těžké si MAC adresu síťového adaptéru změnit a 
vydávat se tak za jiného účastníka. Tento útok opět předpokládá zachycení provozu legitimního účastníka a 
získání jeho MAC adresy. To je velmi jednoduché, protože MAC adresa je uložena v každém rámci. Po 
získání cizí MAC adresy tak útočník pouze počká, až legitimní účastník přestane komunikovat a následně si 
změní svojí MAC adresu a může se za něj vydávat. Dalším problémem je fakt, že velikost seznamu 
kontrovaných MAC adres u AP je poměrně malá (typicky16-32 záznamů), takže ve větších sítích by tento 
mechanismus nešel použít. Nemluvě o skutečnosti, že je potřeba každou novou stanici ručně zadat do 
seznamu povolených stanic. 
 
 
 

WPS – WiFi Protected Setup 

Je volitelný certifikační program Wi-Fi aliance, určený k jednoduchému nastavení a konfiguraci 
zabezpečení bezdrátové sítě. WPS bylo představeno v roce 2007 a je určeno pro SOHO (Small 
Office – HomeOffice) prostředí. WPS je určeno pro uživatele s nízkou úrovní znalostí konfigurace 
Wi-Fi sítě a umožňuje automatickou konfiguraci bezdrátové sítě spolu s jejím zabezpečením.