anon250940
Član broj: 250940 Poruke: 400 *.teol.net.
|
Ako sagledamo sve dobre i lose strane jedne Wireless mreze mozemo zakljuciti da je Wireless itekako dobra napredna tehnologija umrezavanja racunara i ostalih mreznih uredjaja bezicnim putem koja ipak ima jedan mali problem. Taj problem je vezan za sigurnost podataka u bezicnim mrezama. Naime, kako da zastitimo svoju bezicnu mrezu i kako da izbjegnemo svaki neovlasteni pristup nasoj wireless mrezi ??
Dal je dovoljna samo zastita poput onih koje su fabricki ponudjene u Access Pointim-a i Wireless Routerima poput WEP ili WPA enkripcije ?? Takodje je nedovoljno i MAC filtriranje jer se svako moze predstaviti kao odredjeni uredjaj pod tom nekom nama dozvoljenom MAC adresom koju smo dozvolili na mrezi. Postupak je vrlo jednostavan, kod Wireless adaptera
u podesavanjima se samo zada nova vrijednost MAC adrese koju zelimo i stvar rijesena, a kod Wireless Routera imamo opciju MAC Clone koja takodje radi slicnu stvar. Svi mi koristimo MAC Filtriranje i dalje iako smo svjesni ove cinjenice.
Takodje u vecini Wireless Routera ima opcija da se iskljuci broadcasting ESSID i na taj nacin mozemo se sakriti u eteru da se nase ime mreze uopste ne prikazuje, medjutim i dalje nismo dovoljno zasticeni jer se i dalje vidi nasa MAC adresa Wireless Router-a i masa drugih stvari poput kanala koji koristimo, koja je brzina Wireless Routera i sve ostalo je i dalje vidljivo sto znaci da nismo nista uradili ni sa ovim , cak smo samo vise privukli paznju na svoju mrezu jer ce to samo jos vise probuditi zelju i radoznalost svakog Hackera koji se nalazi u dometu nase Wireless mreze a i sami znamo koliko nam daleko ide nasa Wireless mreza tj. koji broj kuca i stanova pokriva koje ne bi trebala ali to je neizbjezno kad pokrivamo odredjeni prostor Wireless signalom.
Dal je ipak potrebno podizanje Domen Server-a i VPN Server-a da se zastitimo 100% od nezeljenih posjetilaca ??
Zelio bih da se pozabavimo malo vise ovom temom i da podijelimo svoja iskustva i misljenja jer se sve vise primjecuje kako su Wireless mreze postale slabo zasticene zbog sve veceg broja Hackerskih aplikacija koje sluze za brzo provaljivanje WEP i WPA enkripcije i koje se lako mogu naci na internetu, dovoljno je samo malo poznavanja rada u torrentu i svasta se moze naci jer je sve to postalo isuvise lako dostupno.
Evo nesto detaljnije o raznim tipovima zastite wireless mreza:
WEP
Wired Equivalent Privacy (WEP) je algoritam za sigurnu komunikaciju putem IEEE 802.11 bežičnih mreža. Obzirom da bežične mreže koriste radio signal za prenošenje podataka one su vrlo podložne prisluškivanju za razliku od žičanih mreža.
Prilikom uvođenja WEP-a 1997. godine ideja vodilja je bila da se bežičnoj komunikaciji osigura sigurnost jednaka onoj kakva je kod žičanih mreža. To se, između ostalog, nastojalo postići enkriptiranjem komunikacije i reguliranju pristupa samoj mreži na osnovu autentikacije putem MAC adrese mrežnog uređaja. Međutim, 2004. godine dolazi do zamjene WEP-a novim WPA algoritmom jer su već 2001. godine uočene ranjivosti WEP algoritma.
Danas je dovoljno nekoliko minuta da bi se probila WEP zaštita.
Omogucavanje WEP-a ima jedan nedostatak: posto su mrezni paketi sifrovani , potrbno je vrijeme za njihovo sifrovanje i desifrovanje , pa ce mreza raditi sporije nego ako je WEP iskljucen.
WPA
Wi-Fi Protected Access (WPA) algoritam je za sigurnu komunikaciju putem IEEE 802.11 bežičnih mreža koje su veoma ranjive na prisluškivanje pošto koriste radio signal za prenošenje podataka.
WPA je napravljen i uveden u upotrebu od strane Wi-Fi saveza nakon što je uočena ranjivost starijeg WEP algoritma. Bitna karakteristika WPA algoritma je da radi na uređajima koji mogu koristiti WEP.
Poboljšanja koja su uvedena u WPA tiču se enkripcije komunikacije i autentikacije korisnika.
Enkripcija kouminkacije je poboljšana korištenjem TKIP protokola (Temporal Key Integrity Protocol).
Za autentikacijaju se koristi EAP (Extensible Authentication Protocol).
WPA je privremeni algoritam koji bi trebao biti zamijenjen kada bude dovršen posao na 802.11i standardu.
Prva verzija WPA ima svoje poboljšanje koje se ogleda u WPA2 protokolu čije se poboljšanje ogleda u uvođenju novog algoritma koji se bazira na AES-u.
Hide SSID ( Skrivanje SSID )
SSID je u suštini naziv bežične mreže. AP emituje SSID više puta u toku jedne sekunde i pomoću raznih programskih paketa se lako može očitati SSID neke mreže. Zbog toga mnogi uređaji imaju mogućnost skrivanja SSID.
U WIN Visti i WIN7 se najviše radilo na samom spajanju na bežične mreže, te maksimalnom podizanju sigurnosti pri spajanju, i nakon što se ono obavi. Kod Windows-a XP, klijent je s vremena na vrijeme putem svog bežičnog adaptera radio broadcast svih SSID-ova koje je imao konfigurisane kako bi provjerio da li se neka od bežičnih mreža nalazi u blizini. Iako je to dozvoljavalo veći komoditet, i automatsko spajanje na mrežu, brzo nakon što se klijent nađe u dometu AP-a, s druge strane je ovaj pristup predstavljao potencijalnu sigurnosnu rupu, budući da je bilo moguće relativno lako, slušajući ove broadcaste, otkriti imena svih SSID-ova koje klijent ima konfigurisane.Kod Windows-a Vista, ovi broadcasti su značajno smanjeni i dešavaju se samo za one mreže koje su eksplicitno označene kao skrivene (odnosno mreže kod kojih SSID nije u broadcast-u od strane AP-a).Na ovom mjestu treba napraviti jednu malu ali korisnu digresiju. Naime, dosta je uobičajeno mišljenje da skrivanje SSID-a za neku bežičnu mrežu predstavlja, sa sigurnosne strane, mudru odluku. Međutim, to nije tačno. Naime, sakrivanje SSID-a na Access Pointu onemogućit će one koji „snifaju“ okolo da otkriju postojanje (ili bolje reći ime) bežične mreže. No, s druge strane, svaki klijent koji ima konfigurisan pristup na tu bežičnu mrežu, povremeno će da radi broadcast imena te mreže, kako bi provjerio da li je mreža u blizini. Kako klijenata ima uglavnom više nego access pointa, a uz to se i kreću, to znači da je veća vjerovatnoća da će neko otkriti ime mreže snifajući broadcaste sa klijenata, nego tražeći AP.Uzgred, Windows Vista za razliku od Windows-a XP ima mogućnost detekcije i onih bežičnih mreža kojima SSID nije u broadcast-u. Takve mreže bit će označene kao Unnamed network i pri pokušaju spajanja na istu, bit će zatraženo upisivanje SSID-a. Ovo će olakšati detekciju postojanja signala kod ovakvih mreža. Ako se pitate na koji način Vista detektuje ove mreže, odgovor je vrlo jednostavan – mreže u kojima je SSID sakriven, zapravo broadcast-uju vrijednost NULL u polju za SSID. Windows XP to ne vidi, ali Vista vidi.Obzirom da i Windows Vista podržava automatsko spajanje na bežične mreže, ovdje se radilo na poboljšanju sigurnosti. Tako Windows Vista neće dozvoliti automatsko spajanje na mrežu koja nema odgovarajuće sigurnosne postavke, a korisnik će biti i posebno obaviješten o tome da se spaja na potencijalno nesigurnu mrežu (recimo na mrežu na kojoj nema enkripcije, ili mrežu bez autentikacije)
MAC filtriranje
MAC (Media Access Control) adresa mrezne kartice, je na primjer: 00-0E-3A-5C-69-35. Ova adresa se salje sa svakim paketom koji se salje izmedju racunara i pristupne tacke. Bez obzira da li je namijenjena za zicno ili bezicno povezivanje, svaka mrezna kartica ima MAC adresu, jedinstvenu adresu koja se daje svakoj kartici u toku proizvodnje. Ona omogucuje indentifikaciju mrezne kartice nezavisno od bilo kog drugog identiteta koji ona moze da ima.
Bezicne mreze se mogu konfigurirati tako da provjeravaju MAC adresu u svakom poslatom paketu, u skladu sa tabelom " dozvoljenih " adresa, a to se naziva "MAC Filtriranje". Ako MAC adresa nije u tabeli onda se paket ignorise i racunar koji ga salje nece dobiti odgovor pa prema tome nece moci da pristupi bezicnoj mrezi. Da bi se dozvolilo nekom racunaru da pristupi mrezi u kojoj je aktivirano MAC filtriranje, neophodno je da se utvrdi MAC adresa bezicne mrezne kartice racunara i rucno doda u listu dozvoljenih adresa uskladistenih u bezicnoj pristupnoj tacki.
Da li MAC filtriranje cini mrezu sigurnom ?
Na zalost, paketi podataka koji se salju bezicnoj pristupnoj tacki sadrze MAC adresu racunara koji ih salje. Uporan haker, koristeci poseban softer, moze svojim racunarom "uhvatiti" pakete koji idu kroz mrezu, zapamtiti ih i analizirati da bi otkrio ovu adresu. On zatim moze upotrebiti softwer da falsifikuje MAC adresu svoje bezicne mrezne kartice tako da izgleda da ona sadrzi validnu MAC adresu koja se nalazi u tabeli za MAC filtriranje. Bezicna pristupna tacka vidi tu adresu kao validnu i onda haker moze pristupiti mrezi. Prema tome, samo MAC filtriranje nije dovoljno za zastitu mreze od upornog hakera.
NAPOMENA: Detaljniji podaci su preuzeti sa internet stranica:
- wikipedia.org
- link-elearning.com
- virus.kapelica.hr
[Ovu poruku je menjao tox master dana 02.12.2010. u 13:18 GMT+1]
|