Domů

Jak bezpečná je vaše Wi-Fi?

Přihlásit se
eArchiv

Jak bezpečná je vaše Wi-Fi?

Stačí několik sekund a WPA šifrování mezi routerem a klientem je hotové. Chip vám ukáže, co se provádí při handshaku, a poradí vám, jak Wi-Fi síť zabezpečit. Že je skutečně bezpečná, to si pak sami ověříte testem.

Zda se díky rozšíření Wi-Fi sítí snížil počet zlomenin způsobených zakopnutím o síťový kabel, to nám není známo. Jisté však je, že Wi-Fi nabízí komfort, který dnes považujeme za naprostý standard. Skutečným standardem se sítě 802.11g (nejrozšířenější typ Wi-Fi) staly až v roce 2003 a díky integraci do notebooků označených jako Centrino se začaly bezdrátové sítě bleskově rozšiřovat. Mezi našimi čtenáři tak už nejspíš nebude nikdo, kdo by se s Wi-Fi sítí nesetkal.
                                                                                                    Většina Wi-Fi sítí nemá dostatečné zabezpečení
A co se vlastně stalo s kabelem? Jako přenosový kanál není potřeba. Při šíření Wi-Fi éterem však vzniká jeden problém: soukromí. U routeru připojeného k počítači kabelem máte pravděpodobnost hraničící s jistotou, že na této cestě nebude vaše komunikace odposlechnuta. Máte-li router na očích, můžete si také být jisti, že se k němu nikdo nepřipojí a nebude surfovat na váš účet.
Jak je tomu u Wi-Fi? Kdo surfuje se zcela nezabezpečenou sítí, hazarduje se svým soukromím: každý, kdo odchytí komunikaci, bude mít přístup ke všem přenášeným datům – včetně hesel! Proto je třeba mít šifrování. Nejprve se rozšířilo šifrování WEP. Jenže to je velmi slabé. Jak se dočtete v samostatném infoboxu, WEP šifrování prolomíte jediným příkazem maximálně do pěti minut. Proto se rozšířilo šifrování WPA a následně WPA2, které je ještě bezpečnější. Bezpečnější znamená, že je problém jej prolomit v krátkém čase (řádově minuty) na domácím počítači. Prolomení WPA na serverových farmách je však záležitostí sekund. Kdo chce mít klidné spaní, neměl by volit nic jiného než WPA2. Ani to není neprolomitelné, pro domácí použití je však dostatečně bezpečné.
Ještě než dojde k zašifrování a spojení, probíhá mezi klientem a routerem tzv. handshake. Překlad výrazu by mohl být "potřepání rukou" a jedná se vlastně o vzájemné představení se. Zařízení si jen vyměňují různé informace. Jaké to jsou?

0,000 s

Dříve než se klient a AP (access point) spojí, musí se najít. Klient musí najít seznam dostupných Wi-Fi sítí, které jsou v pásmu 2,4 GHz dostupné. Provede tzv. "Probe Request". AP odpoví pomocí "Probe Response". Zjednodušeně řečeno – klient zavolá: "Haló, je tu někdo?", a router odpoví: "Ano, tady." Vymění si navzájem informace, jako je název sítě, časové razítko, použitý kanál atd.

2,570 s

Nyní klient pošle "Open System Request" a zjišťuje, jaké je v síti zabezpečení. Router mu odpovídá, a klient tak dostává požadované informace.

2,610 s

V dalším kroku vznáší klient routeru žádost o připojení. Posílá tedy "Association Request" a AP mu zpět posílá "Association Response". Pokud se jedná o otevřený systém, je klient autorizován pomocí Open System Authentication, AP mu vrací zprávu o úspěšném ověření a spojení je navázáno. V našem případě však používáme šifrovací protokol WPA.
Při šifrování WPA (a také WPA2) se používá TKIP (Temporal Key Integrity Protocol), který šifruje přenášená data. V případě WPA se používá algoritmus RC4 (Ron's Code 4), v případě WPA se sází na AES.

2,980 s

Samotné šifrování je popsáno přímo ve standardu IEEE802.11. Nejpoužívanějším šifrováním současnosti je WPA. V praxi se používají dvě verze: pro domácí nebo malé sítě a pro velké sítě ve firemním použití. Rozdíl je v autorizaci klientů při připojování do sítě. U malých sítí se používá pevně stanovené heslo – PSK (Pre Shared Key). U velkých sítí by bylo heslo málo bezpečné – hrozí jeho prozrazení. Proto se používá speciální server, který se většinou jmenuje "Radius". Ten se o šifrování postará.
Domácí síť si tedy vystačí s jedním pevným klíčem (Master Key) a dočasnými klíči, kterými se šifruje. V prvním kroku WPA šifrování spočítají klient a AP tzv. PMK (Pairwise Master Key), který je dlouhý 256 bitů. Ten se počítá z hlavního hesla a SSID (Service Set Identifier), což je vlastně jen název Wi-Fi sítě. Obě zařízení se teď nacházejí ve stavu PMKSA (Pairwise Master Key Security Association).

3,020 s

Pomocí PMK oba Wi-Fi partneři spočítají další klíč: PTK (Pairwise Transient Key), který je dlouhý 512 bitů. Nyní přichází na řadu čtyřnásobný handshake.
Nejprve pošle router klientovi EAPOLFrame (Extensible Authentication Protocol over LAN), který obsahuje ANonce – náhodné číslo. Tato data ještě nejsou šifrována, posílají se tedy jako čistý text. To ale vůbec nevadí. Provádí se totiž ještě čtyři výměny, a pokud cokoliv selže, provádí se celá rutina od začátku.

3,190 s

Klient vytváří PTK z následujících čísel: SNonce (vlastní náhodné číslo), ANonce (náhodné číslo AP), PMK a MAC adresa.

3,320 s

Z PTK router i klient generují další dočasné klíče: EAPOL-Key Encryption Key a EAPOL-Key Integrity Key. Jak Data Encryption Key, tak Data Integrity Key jsou dlouhé 128 bitů.

3,570 s

Další zprávu posílá klient routeru a ta obsahuje SNonce. Router nyní spočítá stejný Pairwise Transcient Key. Spojení však ještě stále není šifrované, ale pomocí MIC algoritmu (Message Integrity Check) se kontroluje, zda data nebyla změněna. Odesílatel postupně čísluje datové pakety. Proud čísel je pak obsažen ve zprávě. Příjemce testuje tato čísla; pokud pakety nesedí, přestává komunikovat a spojení není navázáno. Právě zde si hackeři nejčastěji vylámou zuby. MIC kód používá pro přenos EAPOLKey Integrity Key. Pomocí něj router kontroluje, zda spočítané PTK na klientovi odpovídá správnému klíči.

3,830 s

Ve třetím kroku čtyřnásobného handshaku posílá router Success paket klientovi, oznamuje mu, že oba budou komunikovat pomocí identického klíče. Tato zpráva je chráněna proti změně opět pomocí algoritmu MIC.

4,280 s

Na konci handshaku posílá klient routeru MIC zprávu, ve které potvrzuje aktivaci nových klíčů pro šifrování. Router si ověří MIC a aktivuje nový klíč.

4,500 s

Od tohoto okamžiku obě zařízení komunikuji šifrovaně – přes WPA. Router odesílá GK (Group Key).

4,680 s

V tomto okamžiku přichází na řadu protokol TKIP. Tímto šifrováním budou chráněna uživatelská data, která mezi routerem a klientem proudí. Při šifrování se používá algoritmus RC4 pro kódování dat, MIC pro kontrolu integrity a IV (inicializační vektor) pro generování náhodných čísel, která potřebuje algoritmus RC4.
                                                                                                 Nový firmware zajistí bezpečnost před hackery
V první části rozdělí router 48 bitů dlouhý inicializační vektor na horní a dolní část. Z horní části IV, MAC adresy příjemce a Data Encryption Key se vypočítá TTAK (TKIP-mixed Transmit Addres and Key). Spolu s dolní částí IV a TTAK se pomocí algoritmu RS4 spočítá PPK (Per Packet Key). Právě pomocí PPK se šifrují jednotlivé pakety. Nad vším pak ještě bdí MIC, aby pakety chodily v pořádku. Na druhé straně je pak klient, který šifrované signály převádí zpět na pakety.

5,200 s

Od této chvíle komunikují obě zařízení pomocí zašifrovaného kanálu a přenos uživatelských dat je tak bezpečně šifrovaný. Vývojáři, kteří stojí za vývojem WPA, se samozřejmě snažili o dokonalou ochranu před hackery. Pakety, které již použily inicializační vektor, jsou zařízeními zahazovány. Bezpečnost přináší také MIC. Pokud totiž klient nebo router zjistí více než dvě MIC chyby za minutu, přeruší na 60 sekund komunikaci a poté pokračují s úplně novou sadou bezpečnostních klíčů. Hackeři však přišli na to, že pomocí DoS (Denial of Service) útoku se přece jen mohou do Wi-Fi dostat. Nejlepší možnou ochranu tak nabízí šifrování WPA2. I to sice bylo prolomeno, zatím však pouze v laboratorních podmínkách a na velmi výkonném hardwaru. Pokud tedy vaše zařízení WPA2 podporují, měli byste jej aktivovat a používat.


Různé sítě:
Wi-Fi standardy
802.11g zná téměř každý. Věděli jste ale, k čemu slouží 802.11e? Zde je přehled 802.11 standardů.
IEEE802.11G: Nejrozšířenější standard pracující v pásmu 2,4 GHz.
IEEE802.11A: Wi-Fi pracující v pásmu 5 GHz, které není tak zarušené.
IEEE802.11B: Předchůdce standardu G. Nabízí rychlost jen 11 Mb/s.
IEEE802.11N: Nový vysokorychlostní standard nabídne rychlost až 600 Mb/s.
IEEE802.11P: Speciální verze 802.11a určená pro komunikaci automobilů.
IEEE802.11D: Jako standard B, ale s jinými kmitočty pro jiné země světa.
IEEE802.11E: Doplňuje podporu QoS pro lepší fungování kritických služeb.
IEEE802.11F: Zajišťuje přechod klienta mezi více AP – tzv. roaming.
IEEE802.11I: Rozšiřuje zabezpečení, používá šifrování AES, definuje WPA2.


Prolomení WPA za 17 dolarů
Máte nastavené šifrování WPA a myslíte si, že vaše síť je neprolomitelná? Každý, kdo je ochoten zaplatit 17 USD, zjistí heslo WPA během několika minut. Co je k tomu potřeba? Nejprve si pomocí nástroje aircrack-ng (je součástí systému BackTrack, ale existuje i ve verzi pro Windows) uložíte handshake své síťové karty s AP.
Poté otevřete webovou stránku www.wpacracker.com, kliknete na "run" a projdete průvodcem, který vám pomůže heslo odkrýt. Odkrýt v tomto případě znamená, že heslo bude prolomeno hrubou silou. Jedná se totiž o cloud aplikaci a počítačový klastr vybavený 400 CPU bude slovníkovou metodou hledat heslo do sítě. Databáze obsahuje 136 milionů slov, přičemž již po prvním milionu bývá většina hesel prolomena. Za službu zaplatíte 17 dolarů a heslo bude prolomeno do 40 minut. Kdo spěchá, může si koupit dražší verzi, která stojí 35 dolarů a všech 136 miliónů slov bude vyzkoušeno během 20 minut. Kdo má štěstí a jeho heslo bude "v prvním milionu", dočká se výsledku již po pár sekundách.
Je asi zbytečná zabývat se právními nebo etickými dopady této služby. Vždyť službu je možné použít i legálně – třeba abyste si ověřili bezpečnost svého hesla.
Důležité je, co ze služby vyplývá: pokud chcete mít bezpečnou Wi-Fi síť i se šifrováním WPA, měli byste volit dlouhé heslo. Takových 24 znaků, ve kterých se budou střídat velká i malá písmena a speciální znaky, by mohlo stačit – prozatím. Výpočetní výkon totiž roste geometrickou řadou a za několik let nebude už žádné heslo neprolomitelné.


Více Wi-Fi síly za málo peněz
Nemá vaše Wi-Fi dostatečný výkon? Máte slabý signál? Pomůže zvýšení výkonu antény. Ze všesměrové, která vysílá do všech směrů, můžete jednoduchým trikem udělat anténu směrovou – která vysílá jen tam, kam potřebujete. Za vyrobení takového zesilovače prakticky nic nedáte a podle našich měření se výkon zvýší až o 20 %. Návod na stavbu zesilovače najdete na Chip DVD.
JAK TO FUNGUJE?
Na DVD najdete šablonu ve formátu PDF. Tu vytisknete na papír a obkreslíte na tvrdší papír, například karton. Tvar kartonu vyřežete a podle nakreslených vzorů přeložíte a poskládáte do tvaru v návodu.
Na zadní část je pak třeba přilepit hliníkovou fólii, která bude usměrňovat vlny do ohniska – antény. A jakých výkonů jsme dosáhli? Na krátkou vzdálenost se přenosová rychlost zvýšila z 25 na 26 Mb/s, ale u dlouhé vzdálenosti (15 metrů) narostla rychlost z 16 Mb/s na 20 Mb/s.


Jak učinit Wi-Fi síť rychlou a bezpečnou
Načtení jednoduché webové stránky trvá celou věčnost? Video z YouTube přehraje několik sekund a pak zase začne načítat další data? S našimi tipy a triky skončí toto utrpení. Vaše síť bude rychlá a nedobytná.
BEZPEČNOST PRO VAŠI SÍŤ
Nejbezpečnějším způsobem připojení je připojení při aktivovaném šifrování WPA2-AES. U některých routerů však i starší zabezpečení WPA sází na pokročilejší AES (Advanced Encryption Standard), místo algoritmu RC4. Jedná se pak o smíšenou síť, která podporuje v jednom okamžiku jak zabezpečení WPA, tak WPA2. Síť je tedy kompatibilní i se staršími zařízeními, těm novějším však nabízí naprostou bezpečnost. Zda takovou funkci umí i váš router, to se dočtete v manuálu. Někdy může taková funkce přibýt, pokud nahrajete nový firmware.
NEJLEPŠÍ MÍSTO PRO ROUTER
Ani sebelepší Wi-Fi router nebude dobře fungovat, pokud bude odstíněn kovovou skříní počítače. Chcete-li mít nejlepší signál, umístěte router na co nejvyšší místo, kde nebude rušen jinými elektrospotřebiči. Kam umístit router pro co nejlepší pokrytí, to vám poradí také nástroj HeatMapper z Chip DVD.
PROSTOR PŘINÁŠÍ VÝKON
V pásmu 2,4 GHz začíná být těsno. Rychlá 802.11n sice nabídne fantastickou rychlost v tomto pásmu, ale jen pokud není rušena. Kdo chce to nejlepší, měl by sáhnout po dvoupásmovém routeru. Ten využívá 2,4 GHz v případě, že jsou k dispozici volné kanály, a 5 GHz, pokud by připojení nebylo stabilní. S kompatibilní síťovou kartou se mohou využít i obě pásma najednou.
WI-FI BEZ RUŠENÍ
S tím souvisí také správný výběr kanálu. V České republice se smí používat kanály 1–13. Jenže každý kanál zasahuje také do dvou sousedních. Kanál 6 tak zabírá místo i v kanálech 4, 5, 7 a 8. Bezproblémově tak vedle sebe mohou fungovat jen tři Wi-Fi sítě – na kanálech 1, 7 a 13. Jakákoliv další síť naruší hned dvě další sítě. Řešením je přestup na 5 GHz, kde může vedle sebe fungovat až osm sítí, aniž by se navzájem rušily.

Foto: Wi-Fi peklo: I takto může vypadat Wi-Fi okolí. Žádná síť pak není rychlá a stabilní.


Test bezpečnosti: Prolomený WEP
Nevěříte, jak jednoduché je prolomení WEP šifrování? Vyzkoušejte si sami, že prolomení nebude trvat ani pět minut. A bude vám k tomu stačit jediný příkaz!
Předpokládáme, že se budete zkoušet prolamovat pouze do své vlastní sítě. Útok do cizí sítě by byl totiž na hranici legálního jednání.
Nejprve si poznamenejte údaje o své Wi-Fi síti. Pro prolomení totiž budete potřebovat znát její název (SSID) a číslo kanálu, na kterém běží. To vše zjistíte z webového rozhraní svého routeru, případně vám k tomu pomůže nástroj NetStumbler z Chip DVD. Ten zobrazí jak název sítě, tak kanál.
Na Chip DVD najdete ISO obraz live distribuce linuxového systému BackTrack. Obraz vypalte na DVD vhodným nástrojem, jako je třeba ImgBurn. Vypálené DVD vložte do mechaniky a restartujte počítač. V BIOS počítače nastavte DVD mechaniku jako "First Boot Device" a nechejte počítač nastartovat právě ze systému na DVD. Jakmile se zobrazí okno s výběrem, kterou verzi chcete spustit, stiskněte klávesu [ENTER]. Poté se bude systém přibližně dvě minuty spouštět.
Teď byste se mohli pustit do hackingu. Doporučujeme však nejdříve zjistit, zda si systém poradí s vaší Wi-Fi síťovou kartou. Ne všechny bezdrátové síťové karty jsou totiž touto distribucí podporovány. Zadejte proto příkaz
airmon-ng
Tento příkaz vypíše dostupné Wi-Fi adaptéry. Pokud uvidíte adaptér označený jako wlan0, je vše v pořádku. Pokud systém žádný adaptér nenajde, máte smůlu a s vaší síťovou kartou nebude možné prolomení provést. Náš tip: Pokud se žádná karta neobjeví, můžete zkusit k počítači připojit USB Wi-Fi síťovou kartu. Automaticky se pro ni nainstalují ovladače a opakováním příkazu si ověříte, zda je připojená do systému. Nyní stačí zadat jediný příkaz, který vám prozradí klíč do WEP sítě. Příkaz je:
ws2.tcl•SSID•wlan0•kanál
Místo SSID napište název sítě, ze které chcete heslo zjistit. Wlan0 označuje, na kterém adaptéru bude prolomení probíhat. Místo kanálu pak napište číslo, na kterém kanálu Wi-Fi běží.
Teď už stačí jen čekat. Skript vypíše, co postupně provádí. Ve většině případů bude prolomení hotové do dvou minut, někdy se může protáhnout až na pět minut. Nakonec se vypíše řádek "KEY FOUND", za kterým je WEP klíč. Ten pak použijete pro připojení do sítě.


0,000s
SEZNAM SÍTÍ
Wi-Fi klient provede Probe Request, aby našel dostupné sítě. Router mu odpoví pomocí Probe Response.
2,610s
ŠIFROVÁNÍ
Otevřené sítě jsou každému dostupné. Nastavte na svém routeru šifrování WPA nebo WPA2.
2,980s
BEZPEČNÉ HESLO
Jen pořádně dlouhé heslo, které obsahuje i speciální znaky, je možné považovat za bezpečné.
2,980s
NÁZEV SÍTĚ
I SSID je součástí šifrovací rutiny, při které se počítají klíče.
3,020s
HANDSHAKE
Při proceduře handshake se zařízení navzájem seznámí a ověří si identitu.
4,680s
ÚSPĚŠNÉ SPOJENÍ
Jakmile si klient a router vymění klíče, je možné se bezpečně připojit k internetu. Pakety jsou šifrované vlastními klíči.
5,200s
ÚTOČNÁ VLNA
Upravenými pakety je možné se dostat k heslu. Při nepovedeném útoku přestane router minutu komunikovat.
5,400s
SURFUJTE
Jakmile je připojení sestaveno, můžete začít používat připojení k síti běžným způsobem.