Zabezpečení poslední míle
Řešení
- Radius
- VPN
- PPPOE
- Openvpn
- neco jineho
- WPA(2)-PSK
Radius
Řešitelé:
- (Paul - konec srpna)
Plán:
- testy hwapů - Ovis, AirCa, RB113c, ... (openwrt - balicek nas - pozn. wpa/wpa2)
- OS - linux, winXP/Vista ok; win2000, win95/win98 ?
Jak rozjet Radius - viz (dodelejte pls odkaz na wiki)
WPA(2)-PSK
Zabezpečení pomocí WPA (Wi-Fi Protected Access) se dělí na dva druhy:
- bezpečnější podnikovou verzi (Enterprise)
- jednodušší (domácí) verzi se zabezpečením pomocí hesla (PSK - Pre-Shared key)
Podniková verze se dá nastavit, aby používala RADIUS, tzn. údaje o uživatelích se dají centralizovat. Existuje několik variant EAP (Extensible Authentication Protocol) používaných pro přihlášení v podnikové verzi:
- EAP-TLS - každý klient dostane certifikát; server má také certifikát
- EAP-TTLS - certifikát používá server, klienti se prokazují heslem
- EAP-PEAP - podobné TTLS - řešení od MS (FreeRADIUS ho umí)
- EAP-MD5 - pro Windows XP SP1 a vyšší se nedá použít pro bezdrátové linky
Není problém rozběhat podnikovou verzi s wifi kartou ve Windows XP, MAC OS X 10.4, Linuxu (pomocí wpa_supplicant). Bohužel jen málo HW AP v klientském režimu podporuje podnikovou verzi WPA.
Heslo pokud by bylo sdíleno všemi klienty je špatné - v případě prozrazení je viník neznámý a nehrozí mu žádný trest.
Toto omezení řeší hostapd (v případě použití HW AP jako vysílače je nutné použít OpenWRT) - část souboru hostapd.conf:
# Optionally, WPA PSKs can be read from a separate text file (containing list # of (PSK,MAC address) pairs. This allows more than one PSK to be configured. # Use absolute path name to make sure that the files can be read on SIGHUP # configuration reloads. wpa_psk_file=/etc/hostapd/wpa_psk
Pro každého klienta (identifikovaného pomocí MAC adresy) lze použít jiné heslo. Teoreticky bez hesla pro správnou MAC se dovnitř nikdo nedostane. Jakmile je uvnitř, může si nastavit cizí IP. Tomu zabráníme pomocí statických arp záznamů nebo iptables. Pokud mají všichni klienti připojení pomocí jednoho HW AP navenek MAC tohoto AP je vyhráno - MAC je ověřená pomocí hesla, IP se ověřují přes MAC.
Další zajímavou vlastností je. že pokud existují dvě zařízení se shodnou MAC adresou, pak v každé chvíli může být k AP připojeno jen jedno z těchto zařízení. Prozrazením hesla tedy uživatel riskuje, že se sám nepřipojí.
Bezpečnost WPA-PSK stojí a padá s kvalitou hesla. Heslo může být dlouhé od 8 do 63 znaků. Většina útoků na WPA-PSK je založená na hrubé síle (zkoušení všech možností), případně na slovníkovém útoku. Doporučuje se mít náhodné heslo složené z malých a velkých písmen a číslic délky nejméně 22 znaků. Čím více, tím lépe, takže heslo o 32 znacích by mělo dostačovat.
WPA2-PSK je principielně podobné WPA-PSK. Vylepšení spočívá v použití větších šifrovacích klíčů.
Zdroje: