CW Számítástechnika

Nem elég biztonságosak a Wi-Fi hálózatok

A Wi-Fi hálózatok többségét még mindig WEP-kulcsot alkalmazó titkosítással védik, noha már régóta ismert, hogy ez a titkosítás nem elég erős.

A széles körben elterjedt, sokak által használt Wired Equivalent Privacy (WEP) használata már jóideje nem nyújt kellő védelmet, számos helyen mégis csupán ilyen kulcsokkal védik a hálózatokat, még akkor is, ha azon a hálózaton üzleti titkok, érzékeny vállalat adatok utaznak. A WEP protokoll alapját adó RSA RC4 titkosítási algoritmus gyengesége már 1995 óta ismert, a WEP feltörésére pedig már 2001-ben is publikáltak módszereket.

A WEP-kulcs visszafejtéséhez korábban 10 millió adatcsomagra volt szükség a hálózati forgalomból, ezek analizálásával később meghatározható volt a WEP-kulcs, hacsak addigra le nem cserélték azt - de ez utóbbira általában nem szentelnek figyelmet. Az adatcsomagok begyűjtése érdekében órákon át kellett figyelni, lehallgatni a vezeték nélküli hálózatot, de ez akár a ház vagy iroda előtt parkoló autóból is egyszerűen, nyom nélkül megoldható.


Egy nagyobb antennával nem is kell közel menni a lehallgatáshoz

A 10 millió adatcsomag összegyűjtéséhez a hálózat terhelésétől függően hosszú órákra is szükség lehet, azonban időközben a hackerek megoldásai is fejlődtek, ma már csupán 200 ezer, azaz ötvened mennyiségű adatcsomag is elegendő ahhoz, hogy az akár dinamikus, akár statikus WEP-kulcs megszerezhető legyen. Így lényegében percek alatt feltörhetővé válik egy otthoni vagy vállalati hálózat, s ez ellen sem az 802.1x/EAP szabványú egyedi azonosítás, sem a session szinten osztogatott dinamikus WEP-kulcs nem véd.

A WEP gyengeségeit újabb, nagyobb biztonságot nyújtó titkosítási technológiák implementálásával próbálják a gyártók kiküszöbölni. A 802.11i szabványt körülbelül egy évvel ezelőtt hagyták jóvá, az ebben megfogalmazott WPA (Wireless Protected Access) TKIP és AES titkosítási algoritmusokat azonban számos helyen továbbra sem használják, az eszközök jelentős része pedig csak utóbbit támogatja.

A biztonság felé vezető lépés csupán egyetlen lehet: felejtsük el a WEP-kulcsot, s akár a vezeték nélküli eszközök cseréje árán is használjunk fejlettebb védelmet, minimum WPA-PSK titkosítási technológiát. Jó esetben ehhez elegendő fellapoznunk vezeték nélküli hozzáférési ponttal ellátott routerünk kézikönyvét, illetve megtekintenünk Wi-Fi kártyánk leírását és elvégezni a megfelelő beállításokat. Amennyiben a kérdéses készülék támogatja a WEP-et, de nem kompatibilis a WPA-val, akkor sem biztos, hogy le kell cserélni. A legtöbb esetben a WEP-et alkalmazó eszközök a firmware-frissítéssel alkalmassá tehetők a WPA használatára, azonban ezt minden egyes terméknél külön ellenőrizni kell.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Deus Ex #4
    A mindennapi életben az emberek zöme talpig becsületes, és semmi rosszat nem tenne, de a pici hányad gazember miatt mégis muszály bezárni az ajtót. Az interneten uralkodó vadnyugati állapotok pedig ennél csak szigorúbb intézkedéseket követelnek. Ha egy cégnél más különösebben bizalmas holmi nincs is, csak a dolgozók személyes adatai, és ezt egy közismert, de mégis nyitva hagyott kapun keresztül elviszik, akkor a védelemért felelősök - vagy felelőssé tehetők - máris bajba kerültek, mert nem a tőlük elvárható legnagyobb gondossággal jártak el.

    Igen, ezért írtam lyukáthidalásról, és nem teljes értékű javításról, a hiba továbbra is fennáll, csak jócskán megnehezítettük a kihasználását. Be lehet üzemelni Win alatt, de épp aludtam, vagy a büfében lehettem, amikor a módszert részletezték. Egy jól megtervezett hálózatban a routoltatás ilyen körülmények között sem lehet gond. Természetesen nem az otthoni hálózatról, hanem céges környezetről beszélek.

    További kellemest.
  • pemga #3
    Szerintem rosszul fogják fel, ha lenne nagy lefedettségű nyilvános hálózat (ld. Tokyo WiMax), akkor nem akarná boldog-boldogtalan használni a magán-hálózatokat. A GPRS lassú és drága, pláne roamingolva, a 3G se lesz olcsóbb. Egy fém tésztaszűrő/keverőtál pedig 1000Ft alatt van :). A fizikát hozzá ált. végefelé már tanítják...

    Persze nyilván vannak olyan emberek is, akik a magánadatokat szeretnék, vagy egyszerűen szeretnének elrejtőzni. De nem ez a többség, szerintem.

    Deus Ex, Maga a WEP is titkosított és egyel mélyebb szinten titkosított. A WPA-PSK az a PGP-ben (vagy a GSM-ben is) használt titkos+nyilvános kulcs-cserés megoldás. Tehát ez bonyolultabb sokkal (több idő). Amire te gondolsz azzal a belső forgalmat valóban le tudod védeni, de onnantól kezdve a routered dönti el, hogy most kiengedi-e a kapcsolatot vagy sem. De hogy ezt win alatt is be lehet-e üzemelni? Passz. Meg ebben az esetben a routered nem elég, ha egy wireless router + adsl modem (amit adsl kapcsolat mellé szoktak ingyen osztogatni mostanában), hanem egy komplett pc kell hozzá, legalábbis nem láttam még ilyet vasban.
  • Deus Ex #2
    Valamelyest. Ugyan egy hálózat biztonságának sarkallatos pontja, hogy ne férhessenek fizikailag hozzá. Ha akár egyetlen ilyen védetlen kapcsolat is létezik, az felesleges vacakká teszi az összes biztonsági rendszert. (Nem kell rögtön öncélú crackerekre gondolni, lehetséges, hogy a BSA jól megfizetett patkányai akarnak odabenn szétnézni, hogy lássák, érdemes-e egy jókis egész éjszakás házkutatásra küldeni a rendőröket.)

    Ellenben úgy tudom, hogy ha a forgalom más módszerrel - pl. tanúsítvány alapú IPSec használatával - titkosított, akkor ez a lyuk áthidalható. Ha valaki ért ehhez, írhatna róla pár sort, engem is érdekel.

    Ha pedig nem céges vonatkozásban gondolkodunk, bárki hozzáférhet az otthoni hálózathoz, gépekhez, ez pedig megintcsak kínos dolog..

    További kellemest.
  • atlagember #1
    Nincs ez a dolog kicsit felfújva?