top of page

Zabezpečenie pred Útokom na WEP

 

 

Podstata útoku:

Podstatou útoku WEP Cracking je prelomenie hesla protokolu WEP - Wired equivalent privacy, ktorý sa používa na bezdrôtových WLAN sieťach, ktorý bol vymyslený na zabezpečenie bezdrôtových sieti na úrovni drôtových, ale kvlôli slabému kryptografickému základu to tak nie je. Keďže princíp fungovania protokulu WEP, je pomerne zložitý a zdĺhavý tak spomeniem iba jeho nedostatky. Útoky na WEP vyplývajú z týchto nedostatkov:

  • použitie statického klúča - maximálne 4 statické klúče, mení sa len IV - Inicializačný vektor

  • opakovanie IV 

  • použitie rovnakého algoritmu na šifrovanie aj autentifikáciu

  • linearita CRC-32 a operácie XOR

  • šifrovanie ICV spolu s dátami

  • nedostatky použitého algoritmu RC4

Pre lepšie pochopenie protokolu WEP je dobré preštudovať si iné materiály.

Zabezpečenie pred útokom:

Keďže protokol WEP - Wired equivalent privacy, nie je taký bezpečný ako sa očakávalo, tak najúčinejšou ochranou je použiť lepšie zabezpečené protkoly a rôzne ochranné prvky.

WEP je zastaraný bezpečnostný model, ktorý má množstvo bezpečnostných dier a s vhodným softvérom môže byť prelomený. Jeho najväčšou nevýhodou je využívanie nedokonalého, už prekonaného RC4 šifrovacieho algoritmu. V praxi môžu byť siete s WEP prelomené za omnoho kratší čas ako tie, ktoré využívajú novší WPA2 model. To však neznamená, že WPA2 nie je v 100 % prípadov bezpečné.

 

Najslabšie bezpečnostné prvky bezdrôtových sieti:

  • Skrývanie SSID - pre útočníka je veľmi jednoduché zistiť názov siete SSID, preto sa to nedá považovať za dobrý bezpečnostný prvok siete. Názov siete SSID nikdy nebolo určené ako bezpečnostný prvok, taktiež nikdy nemalo byť skrývané. Skrývanie SSID je teda vhodné len na zamedzenie asociovania sa nenakonfigurovaných staníc, prípadne takých, ktoré sú nastavené na automatické pripájanie sa do ľubovoľnej dostupnej siete.

  • Filtrácia MAC adries - Ďalším z možných spôsobov zabezpečenia je obmedzenie množiny MAC adries staníc (sieťových kariet), s ktorými bude AP komunikovať. Prístupový bod (AP) má nakonfigurovaný zoznam MAC adries zariadení, ktoré bude asociovať. Zariadenia s inými MAC adresami ignoruje, resp. odpovie záporne. Na svete by nemali existovať dve IEEE 802.11 sieťové rozhrania s rovnakými MAC adresami, a preto sa môže tento druh filtrovania pozdávať ako kvalitný druh zabezpečenia. Útočníkový stačí zistiť MAC adresu asociovaného zariadenia v bezdrôtovej sieti a naklonovať svoju MAC adresu podla asociovaného zariadnia.

 

Najsilnejšie bezpečnostné prvky bezdrôtových sieti:

  • Použitie WPA/WPA2 v Personal verzii, AES šifrovanie 

  • Pri zvolení WPA alebo novšieho WPA2 môžete nastaviť aj spôsob šifrovania. K dispozícii je zvyčajne AES a TKIP. Vyššiu bezpečnosť poskytuje AES, ktoré však nie je kompatibilné so všetkými zariadeniami. Silné zabezpečenie poskytne aj TKIP, ktorý nemá až také problémy s kompatibilitou. V praxi teda odporúčame využiť AES - a TKIP si nechať len ako zálohu pre nutné prípady.

 

 

 

 

© 2015 Vytvoril Ján Ivák

bottom of page