WiFi, mituri de securitate si trucuri pt securizarea retelei

Cum tot sunt din ce in ce mai multi fani ai “fara-fir”-ului (ma numar printre ei) cred ca pica bine un asemena articol. Pana la urma… cat iti convine sa te impiedici de cabluri UTP, sau sa-ti intre in casa un manunchi de cabluri FTP sau Coaxial. Astazi este foarte usor sa-ti faci o retea wireless, mai ales acum cand notebookurile sunt un “must have” pentru omul 2.0 ce populeaza planeta civilizata. Dai un click aici, unu` acolo si ti-ai facut reteaua de parca ai fi atestat CISCO fara diploma specifica CCNA.

Cum netu` e expert in deceptie vei gasi un morman de informatii despre “cum sa-ti securizezi reteaua WiFi (Wi-Fi sau wireless, pentru ca e cam acelasi lucru in acest domeniu). Cele mai multe sunt Bullshit si retine: Nu exista retea care nu poate fi crack-uita! Trebuie doar persoana protrivita sa dea o incercare. In articolul de fata am luat cateva metode de securizare, care prin internet se spune ca sunt “de nespart!”. No shit? De unde le mai pricep? Pai am facut curs dupa cursurile pentru CCNA la facultate si am dat examenul acu` doua zile 🙂

NOTA: Pentru inceput (sa fie clar) hacker-ul este cel care sparge sisteme de siguranta si encriptii cu scopul de a ajuta devoltarea de noi metode de protectie (good guy). Crack-er este cel care sparge sistemele cu scopuri obscure (ma rog… sau nu, dar pentru a face bani sau pentru a se da mare cu ce IQ are).

Mitul 1: criptarea WEP in WiFi
– de cele mai multe ori poate fi sparta in cateva minute
– WEP = Wired Equivalent Privacy, un standard dezvoltat de IEEE
– un standard deja destul de vechi
Atacul asupra criptarii WEP are loc in momentul in care crack-erul poate sa recupereze encryption key (adica parola ta dupa care e facuta criptarea). Dupa aceasta recuperare omuletu` se poate conecta fara probleme la reteaua respectiva si sa acceseze resursele vizibile (sau hidden, in unele cazuri).

Securizarea cu criptare WEP nu te apara impotriva atacurilor directe. E buna doar pentru masa populatiei, sa nu acceseze oricine ce ai de impartit in reteaua respectiva. Ca raspuns la aceste gauri de securitate WiFi Alliance a dezvoltat un standard putin mai avansat numit WiFi Protected Access (WPA). La acestea auzite, IEEE (avand orgoliul atins 🙂 ) au scos un alt standard de securitate numit 802.11i… mai apoi WiFi Alliance a creat WPA2, bazandu-se pe standardul IEEE. Ca recomandare pentru oricine vrea sa-si implementeze o retea securizata (cat-de-cat) sa uite de WEP si sa foloseasca standardul WPA2.

Mit 2: WPA si WPA2 sunt crackuibile
– chiar daca sunt mai sigure (cu parole mai complexe), cum ziceam mai sus, orice poate fi spart
– parolele folosite in WPA/WPA2 sunt numite PSK (sau Pre-Shared Keys)
Sectorul in care aceste sisteme au gaura de securitate este chiar acest PSK. Daca aceasta parola, sau passphrase nu este schimbata periodit, poate fi sparta folosit forta bruta offline. Nu, nu e vorba de ciocan… pentru ca e greu sa nimeresti un bit cu ciocanu`. Brute-force, in traducere forta bruta, se refera la testarea repetata a combinarilor de caractere/cuvinte acceptate (bazate pe un dictionar) pana parola criptata potriveste cu cea a testarilor. Testarea respectiva are loc offline, dupa ce pachetele potrivite sunt copiate de crack-er. Unii crack-eri sau hack-eri folosesc soft-uri de genu` WPA Cracker.

Este recomandat ca atunci cand folosesti WPA sau WPA2 sa folosesti cuvinte care nu exista in dictionare si combinari cat mai diverse de caractere. Parola respectiva nu trebuie retinuta (se poate salva, in caz de nevoie).

Un exemplu de parola ok uite aici: fdfs+32/SDFsd&dsa+sad-23dsQWewR\99fdsa092-oofdas,fdsfsa;daPo2. Pentru companii este recomandat sa-si cumpere WPA for Enterprise sau WPA2 encryption for Enterprise, pentru ca acolo au securizare bazata pe 802.1X de la IEEE in loc de PSK si suport de la dezvoltatori.

Atentie la WPA! Daca softul routerului respectiv este de pe la inceputurile implementarii WPA-ului (adica se foloseste de criptarea TKIP-RC4) atunci ai probleme indiferent ca este Personal sau Enterprise. Oricum, incepand din 2004, majoritatea emitatoarelor de wireless pot face firmware update la WPA2 (cu criptare AES-CCMP). Concluzie: Nu alege WPA sau WPA/WPA2 (mixed)! Pe cat se poate WPA2 e o varianta cat mai apropiata de o securizare ideala.

Mitul cu numarul 3: SSID brodcast disabled, IP-uri statice, sau filtrarea MAC-urilor
– SSID = Service Set IDentifier, adica numele retelei;
– numele unei retele poate fi difuzat pe frecventa retelei WiFi, sau nu (la alegere)
– filtrarea MAC-urilor se face din setarile routerului
Daca iti ascunzi SSID-ul ai sanse mari ca vecinii sa nu incerce sa-ti sparga parola, asta daca ai oameni normali ca vencini si nu d`astia de sparg servere NASA and shit. Eu folosesc aceasta metoda + filtrarea accesului bazandu-ma pe MAC address pentru a preveni masa populatiei de a-mi accesa reteaua. Peste non-broadcasting SSID se poate trece usor (e un fel de garduletz pana la genunchi pentru un hacker/cracker)

IMPORTANT! Orice retea trebuie definita! Trebuie sa-i dai un nume retelei tale, chiar daca nu il difusezi. Pentru a accesa reteaua trebuie sa introduci manual acest nume, iar filtrarea MAC-urilor este folosita pentru limitarea aparatelor care se pot conecta la un WiFi.

Mai este o metoda recomandata pe tot netu` sa te aperi de hackeri (la fel de ineficienta) si anume sa dai disable la DHCP (adica la alocarea dinamica a IP-urilor, facand o comparatie intre IP-urile din retea si IP-urile disponibile la iesirea din router/conectarea la o alta retea, inclusiv internet). Dar aceasta metoda este la fel de ineficienta ca si celelalte. Tehnica recomandata pentru o retea WiFi securizata este folosirea criptarii (de preferat WPA2).

Mitul 4: Enterprise WPA/WPA2
Cum spuneam mai sus, este o metoda recomandata companiilor, insa nu este bulletproof. Intradevar aceasta metoda este mult mai securizata decat Personal WPA/WPA2 sau alte modalitati, insa este vulnerabila atacurilor. Bine bine, dar cum se poate? Pai crackerul care vrea acces la o retea WiFi simuleaza a fi un server RADIUS (ca si cand ar fi un pin-point, sau un alt user al retelei). Copiaza datele de autentificare a unui user deja existent in reteaua WiFi, iar cand acesta iese de pe retea comunicarea poate incepe.

Impotriva acestei metode poti face o validare a fiecarui utilizator/server/switch/router. Cand configurezi PEAP (sau certificatul Windows) al clientului ai trei optiuni din care poti alege cum si ce sa validezi. Ele suna cam asa:

1. Check the Validate server certificate option => din lista respectiva alege => Trusted Root Certificate Authority
2. Pentru un server RADIUS alege sa validezi IP-ul static al acestuia.
3. Nu uita sa selectezi “Do not prompt user to authorize new servers or trusted certificate authorities”. Pana la urma doar tu, in calitate de administrator al retelei WiFi, trebuie sa poti valida accesul la retea. Userii (in inconstienta lor) majoritatea dau Yes, Ok si Next la aproape orice le apare… insa tu esti reponsabil de ce se intampla prin retea.

Informatiile de mai sus le-am citit si adaptat din cartea de cursuri CISCO pentru pregatirea examenului CCNA (sau vechiul CCNP) + “Tips & Tricks to a safe WiFi network” de Eric Geier – CEO al NoWiresSecurity, cu cateva adaptari personale intalnite la instalarile diferitelor retele (asa… sa mai fac si eu de-o ciorba). Acestea fiind spuse, daca nu ai idee despre cum se face o retea (si esti fan Solitare) mai bine nu fii chitros si angajeaza un om care stie ce face. In felu` asta ai sanse mai mici sa plangi ca “cineva mi-a sters…” sau “nu stiu ce s-a intamplat dar…”.

Daca ai ceva de adaugat referitor la subiectul WiFi si securitatea retelelor scrie un comment si adaug in articol.