Admin Admin
Broj poruka : 137 Datum upisa : 23.12.2011
| Naslov: Sve o WPA, WEP, WEP2 Pet Dec 23, 2011 12:27 pm | |
| Ovo sam nasao u jednoj od knjiga koje imam. Nadam se da ce pomoci.
Rešavanje sigurnosti poslovanja od zlonamernih napada sa interneta treba postati jedan od prioriteta menadžmenta jedne kompanije. Opasnosti i motivi napada mogu biti mnogobrojni, na primer špijunaža od strane konkurencije, napadi radnika koji su otpušteni, spoljni napadi zbog korišćenja resursa firme za postavljanje pornografije, piratskog softvera, filmova ili muzike kako bi drugi mogli skidati taj sadržaj a vaša firma da plaća račun za saobraćaj (u nekim državama postoji i zakonska odgovornost zbog autorskih prava). Korišćenje bežične mreže podrazumeva prenos putem medijuma koji je dostupan svima na mnogo većem prostoru od onog koji neophodna samom korisniku. Prema tome, svako može da presretne pakete podataka koji su u etru. Dovoljan je bežični adapter, odgovarajući softver i malo znanja. Ukoliko se možete konektovati na svoju bežičnu mrežu bez ukucavanja lozinke to je znak da ne postoji nikakav sistem zaštite. U tom kontekstu, termin sigurnost označava enkriptovane podatke dok se prenose kroz vazduh. Cela ideja zaštite se svodi na sprečavanje drugih da dođu u posed tih informacija i samim tim i zloupotrebu istih. Oko 25% bežičnih veza uopšte nisu obezbeđene, što znači da svako može da koristi njihove internet veze i da vrlo lako provale u računare u tim mrežama. A onda su bankovni računi, lični podaci i ostale adrese i lozinke slobodne za zloupotrebu. Wi-Fi mreže nude tri opcije zaštite: WEP, WPA i WPA2. WEP (Wired Equivalent Privacy) je najstariji vid zaštite definisan još davne 1999 godine. Zasnivao na unapred poznatom ključu i obično se koristi u 64-bitnoj i 128-bitnoj varijanti. Pokazao se kao veoma slab i samo vam daje lažni osećaj sigurnosti jer se uz odgovarajući softver praćenjem saobraćaja između stanica moguće razbiti ključ u roku od nekoliko minuta. Nemojte ga koristiti. Oko 25% bežičnih mreža je „obezbeđeno“ WEP enkripcijom, čije se ključevi vrlo lako mogu provaliti uz pomoć besplatnih alata na internetu. WPA/WPA2 (Wi-Fi Protected Access) su protokoli izvedeni iz 802.11i standarda i mnogo su bezbedniji od WEP-a. WPA tehnički predstavlja sertifikaciju. Ne predstavlja sigurnosni standrard obzirom da uključuje samo jedan sigurnosni protokol TKIP. Kombinacija WPA i TKIP protokola nije najbolje rešenje, ali pruža zadovoljavajuću sigurnost. WPA dozvoljava dve vrste autentifikacije: WPA-802.1x (WPA-Enterprise) i WPA-PSK. WPA-802.1x (RADIUS) podrazumeva da postoji RADIUS (Remote Authentication Dial-in User Service) server u mreži. RADIUS server vrši autentifikaciju na osnovu sertifikata koji su ranije dodeljeni klijentskim stanicama i ne dozvoljava pristup nikome ko ne poseduje validan sertifikat. Ova vrsta WPA protokola se koristi uglavnom u većim organizacijama, dok je za SOHO i kućno okruženje zadužen WPA-PSK. WPA-PSK za autorizaciju koristi lozinku dužine od 8 do 63 karaktera koja mora biti uneta i na klijentu i na pristupnoj tački (access point). Ako je lozinka dovoljne dužine (preporučuje se barem 13 karaktera) i složenosti, da bi se izbegao napad sa pogađanjem lozinke iz rečnika ili brute force-om, WPA2-PSK je potpuno bezbedan protokol. WPA2 je, takođe, sertifikacija i uključuje dva standarda TKIP i CCMP. Ukoliko koristite TKIP nije važno da li je vaš uređaj WPA ili WPA2. Najbolja opcija za sigurnost bežične mreže predstavlja CCMP sigurnosni protokol i jedino je dostupan kod WPA2 uređaja. Postoje i neke teškoće pri konfiguraciji WPA2. WPA2-AES zahteva mnogo više proračunavanja pa stariji ruteri možda nemaju tu snagu. Ukoliko vaš ruter ne podržava WPA2 pokušajte da na sajtu proizvođača pronađete firmware Može se desiti da vaš uređaj ne podržava ovaj vid komunikacije (računar, pametni telefon, ili bilo koji drugi uređaj koji koristite preko bežične mreže). Na primer Windows XP SP2 ne podržava WPA2 i potrebno je dodati „hotfix“ KB893357.
Obratite pažnju Na internetu smo pronaši neke informacije da određene marke rutera imaju fabričku grešku u sebi zahvaljujući kojima je lako provaliti i u obezbeđene mreže (WPA i WPA2). U pitanju su Speedtouch i Thompson modemi. Naime, ovi ruteri imaju u sebi fabrički ključ koji se koristi kao standardno obezbeđenje. Ukoliko korisnik pri instaliranju takvog modema ne promeni ime rutera i standarni ključ, onda zlonamernici mogu lako da saznaju koji je ključ u pitanju jer je proizvođač ugradio logaritam pravljenja ključeva koji je razbijen. Rešenje je da u opcijama rutera (127.0.0.1 ili 192.168.0.1) promenite ime (umesto thompson/speedtouch982754 u recimo moja_mreža) i promenite ključ u WPA ključ (recimo 95J984C8) u neki samo vama poznat. Smernice za zaštitu bežičnih mreža u firmi Ukoliko posedujete bežičnu mrežu u svojoj firmi trebali bi ste da razmotrite sledeće sigurnosne smernice kako bi zaštitili svoju mrežu od neovlašćenog pristupa: 1. Aktivirajte 802.11 enkrpciju Aktiviranjem enkripcije, vaši podaci postaju nerazumljivi za neovlašćene korisnike. Imajte na umu da ova enkripcija se vrši samo između klijentskog računara i bazne stanice (Access point). To je dovoljna zaštita ukoliko je mreža fizički osigurana od napada. Ukoliko nije, kada korisnici pristupaju važnim podacima sa javnih mesta gde postoji bežična mreža za pristup internetu (Wi-Fi hotspots), potrebna je dodatna zaštita. 2. Koristite IPSec-Based VPN (Virtual Private Network) tehnologiju Ukoliko korisnici mreže imaju potrebu za pristup aplikacijama sa važnim podacima preko hotspots-a, trebate da koristite VPN sistem koje će obezbediti end-to-end enkripciju i kontrolu pristupa. Neke kompanije zahtevaju VPN za sve bežične klijent-uređaje, čak i ako se konektuju unutar sigurnosne mreže. Ovo rešenje je dobro sa stanovišta sigurnosti ali je teško održavati više stotina takvih korisnika, a pri tom je i skupo. 3. Podesite 802.1x autentifikaciju za kontrolu pristupa mreži Da bi se klijent pridružio konkretnoj pristupnoj tački, često je potrebno da dokaže svoju autentičnost. Najčešće korišćen način za autentifikaciju u firmama je na osnovu MAC adrese klijenta gde isti računari periodično pristupaju mreži u dužem vremenskom periodu. 4. Uspostavite bežičnu mrežu na odvojenom VLAN U kompleksnijim kompanijskim mrežama, kada zbog velikog broja računara postoji više VLAN-a (Virtual Local Area Network), bežična mreža se može konfigurisati kao poseban VLAN. U tom slučaju firewall može pomoći da se hakeri lociraju u delu mreže koja koristi bežičnu prenos i tako oteža pristup kompanijskom serveru. 5. Osigurajte da imate najnoviji firmware na klijentskim karticama i baznoj stanici (Access point – pristupna tačka) Proizvođači često implementiraju „zakrpe“ za svoj softver kako bi ispravili sigurnosne propuste u svom softveru. Postarajte se da vam postane navika da proverite da li vaš bežični uređaj ima najnoviju verziju softvera. 6. Osigurajte da samo ovlašćeni zaposleni mogu resetovati pristupnu tačku (baznu stanicu) Neki uređaji vraćaju fabrička podešavanja (tj. Bez ikakve sigurnosti) kada se resetuje uređaj. Ukoliko posedujete takav uređaj neophodno je da obezbedite adekvatnu sigurnost od fizičkog pristupa uređaju. 7. Isključite pristupni uređaj u periodu kada ga ne koristite Ukoliko ste u mogućnosti – isključite uređaj kada korisnicima nije potreban jednostavnim izvlačenjem kabla za napajanje. 8. Obezbedite sigurnu lozinku Ne koristite podrazumevane lozinke jer su dobro poznate. Koristite dobro zaštićene lozinke sa kombinacijom slova, znakova i broja u dužini od najmanje 10 znakova. Menjajte lozinku s vremena na vreme. 9. Instalirajte firewall na svakom računaru u mreži 10. Smanjite propagaciju (širenje) radio talasa izvan zgrade Koristeći usmerene antene možete usmeriti propagaciju unutar područja gde se koristi bežična mreža. Dobićete ne samo otimizovanije pokrivanje područja već će te smanjiti i rizik da haker locira vašu mrežu. 11. Upoznajte zaposlene sa sigurnosnim protokolima Organizujte osnovnu obuku za sve zaposlone na kojoj ih treba naučiti šta se sme a šta ne smeju činiti, kao i kome se obratiti u slučaju eventualnih incidenata. 12. Obazrivo delite sadržaj hard diska ostalim korisnicima mreže Klijenti koji korite mrežu ne treba da omoguće pristup sadržaju na celom hard disku ukoliko to nije potrebno. Ako je već neoophodno onda ne treba uključivati mogućnost menjanja podataka od strane treće osobe. 13. Najvažnije podatke dodatno obezbedite Najvažnije podatke možete staviti u .zip ili .rar fasciklu i obezbediti je nekom kompleksnijom lozinkom. | |
|