Zabezpečení bezdrátové sítě (ISP)

Statické IP adresy

Přístupové body většinou klientům přidělují IP adresy pomocí DHCP. Vyžadování ručního nastavení IP adresy klientem ztíží průnik do sítě méně sofistikovaným útočníkům, ale poskytuje malou ochranu proti zkušeným vetřelcům.

WEP

WEP (Wired Equivalent Privacy) je původní šifrovací standard pro bezdrátové sítě, který byl ale v srpnu 2001 prolomen. Na nových zařízeních je stále podporován, ale je doporučováno používat WPA2.

WPA

Wi-Fi Protected Access, tj. chráněný přístup k Wi-Fi (WPA a WPA2) jsou bezpečnostní protokoly, které řeší problémy WEP. Pokud je použito slabé heslo, jako slovníková fráze, nebo kratší řetězec, může být WPA a WPA2 prolomeno. Při použití dostatečně dlouhých hesel (např. 14 náhodných písmen) nebo passphrase (např. 5 náhodně zvolených slov) je předsdílená fráze (PSK – pre-shared key) prakticky neprolomitelná. Druhá generace WPA bezpečnostního protokolu (WPA2) je založena na konečném IEEE 802.11i dodatku ke standardu 802.11 a je v souladu se standardem FIPS 140-2. Podle těchto šifrovacích schémat může kterýkoliv klient, který zná šifrovací klíč, číst síťový provoz.

WPA2

WPA2 neboli standard 802.11i je přímým nástupcem WPA.

Ve WPA byla implementována jen část práce pracovní skupiny 802.11i a proto nebyla úplně přesně to, co tato pracovní skupina zamýšlela.

Standard 802.11i – WPA2 byl schválen v roce 2004 a přináší konečně velmi robustní zabezpečení bezdrátové sítě. Hlavní a asi nejdůležitější komponentou standardu 802.11i je využití šifry AES (tato část 802.11i při vydávání WPA v polovině roku 2003 ještě nebyla hotova). Ve specifikaci 802.11i je AES povinná, ale TKIP je pouze volitelné.

WPA2 používá blokovou šifru Advanced Encryption Standard (AES)

802.11i architektura obsahuje následující komponenty:

• IEEE 802.1X pro autentizaci (používá tedy Extensible Authentication Protocol (EAP) a autentizační server),

• Robust Security Network (RSN) pro udržování záznamu asociací

• Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (CCMP), který poskytuje utajení, integritu a autentizaci.

Na novějších Access Pointech (AP) je nastavitelný režim:

• WPA (TKIP)

• WPA2 (CCMP)

• WPA + WPA2 (mixed) - bezdrátový klient, pokud umí WPA2, připojí se preferenčně přes WPA2, jinak se starším WPA protokolem

Pro eliminaci slabých míst byl vyvinut protokol TKIP (Temporal Key Integrity Protocol), který dočasně odstranil problém s inicializačními vektory a zavedl dynamickou správu šifrovacích klíčů, které jsou pomocí něj mezi klientem a přístupovým bodem bezpečně přenášeny nejen na začátku komunikace, ale i během ní. Na straně klienta (počítače připojujícího se k bezdrátové síti) je nasazen tzv. suplikant (prosebník), což je univerzální démon běžící v pozadí na hlavním procesoru počítače a zajišťující autentizaci klienta a správu šifrovacích klíčů pomocí TKIP.