Általános érvényű igazság: amikor a kényelem és az extra szolgáltatások kerülnek szembe a biztonsággal, az utóbbi általában alulmarad. Nincs ez másképp a vezetékmentes hálózati kapcsolat szabadságát nyújtó Wi-Fi esetében sem.

A cikk kiindulópontja egy a külföldi szaksajtóban napvilágot látott felmérés volt Európa nagyvárosainak Wi-Fi hálózatairól és azok biztonságáról. Az itthoni áldatlan állapotok feltérképezése után döntöttünk úgy, hogy elkészítjük Wi-Fi biztonsággal foglalkozó írásunkat. Arra kerestük a választ, vajon elkerülhetetlen-e, hogy a vezetékmentes hálózatok biztonsági kockázatot hordozzanak magukban? Kell-e ismerni ezeket a kockázatokat és értékes órákat szánni a védelem felépítésére? Vagy egy Wi-Fi hálózat már az alapbeállításokkal is betonbiztos?

Nyugaton a helyzet

Nem változatlan, hanem rosszabb, mint volt. A bevezetőben említett felmérés az RSA Security legfrissebb anyaga, amely riasztó képet fest a vezeték nélküli hálózatok biztonságáról. A londoni felhasználók 36 százaléka a legalapvetőbb biztonsági intézkedéseket sem tette meg, így rendszereik bármilyen utcai támadás előtt nyitottak. De nem jobb a helyzet Európa és az Egyesült Államok más nagyvárosaiban sem. Frankfurtban a hálózatok 34, New Yorkban 38, San Franciscóban 35 százaléka áll gyakorlatilag védtelenül a támadások előtt. Lapunk hobbikalóz és Wi-Fi-szpotter akciócsoportja pedig csak megerősíteni tudja a szomorú sejtést: bizony Budapest sem büszkélkedhet jobb arányokkal, erről bárki személyesen meggyőződhet, ha az arra alkalmas felszereléssel végigvillamosozik a Nagykörúton (lásd a folytatásban). A tendencia ráadásul kedvezőtlen, hiszen az egy évvel ezelőtti hasonló felmérés még csupán a hálózatok 15 százalékánál jelzett ilyen jellegű problémát.

Wardriving

A legelemibb – és mégis leggyakoribb – hiba az, hogy a felhasználók elmulasztják újrakonfigurálni a hálózatot, így az alapbeállításokkal fut, pofonegyszerűvé téve az illetéktelen bejutást, hiszen a gyári beállításokat minden hacker ismeri. A nem biztonságosnak minősített hálózatok 26 százalékánál ez volt a helyzet. Ahogy Tim Pickard, az RSA egyik vezetője elmondta: olyan ez, mintha egy besurranó tolvaj végigpróbálná az összes útjába eső kilincset, remélve, hogy talál olyat, amelyet elmulasztottak bezárni.

Az RSA megbízásából a felmérést kivitelező netSurity cég munkatársai az üzleti felhasználóktól "utcára szivárgó" érzékeny céges információkra utaztak. A szakembereknek nem volt nehéz dolguk: egy laptoppal és egy ingyenes hálózatkereső szoftverrel bőséges információhoz jutottak vezetékmentes vállalati hálózatokból pusztán azáltal, hogy elhajtottak az épület előtt. Ez a módszer a "wardriving". 

Az elnevezés még a ’80-as évek Amerikájának koldusaitól eredeztethető. A hobók krétajeleket hagytak társaiknak a járdán azokon a helyeken, ahol adományokra számíthattak, vagy épp ellenkezőleg, amelyeket ajánlott volt nagy ívben elkerülni, mondjuk mogorva gazda, házőrző kutya vagy éhes oroszlán miatt. Ezt hívták ők "warchalkingnak" (chalk = kréta). A modern idők Wi-Fi lovagjai kezdetben szintén krétával jelezték egymásnak, ha valahol nyitott hálózatot találtak, manapság ezekről már inkább e célra fenntartott weboldalakon számolnak be – GPS-adatokkal és térképpel.

A dolog létjogosultságát az adja – és ebbe a vezetékes LAN-hoz szokott felhasználók zöme ritkán gondol bele –, hogy a rádiójelek nem állnak meg a lakás vagy iroda falainál, a levegőt pedig közmondásosan nehéz titkosítani. Így a hálózat hatósugarán belül, de közterületen tartózkodó wardriver egy laptoppal és egy hálózatkereső szoftverrel (e célra kiválóan alkalmas ingyenes szoftver például a windowsos NetStumbler) könnyedén csatlakozhat a hálózatunkhoz - ha nem gondoskodtunk védelemről. Ilyen esetben egy rosszindulatú behatoló korlátozás nélkül fér hozzá fájljainkhoz, sőt akár arra is felhasználhatja a rendszerünket, hogy tőlünk indítson támadást más szerverek felé.

Fontos megjegyezni, hogy a wardriving nem jelent egyet a támadható hálózatok feltörésével. Guy Denton, az IBM biztonsági tanácsadója szerint a módszer lényegében szolgáltatás, még ha túl messzire is megy. De jó célt szolgál, az emberek megismerhetik a vezetékmentes hálózataikkal kapcsolatos problémákat. Denton szerint a hálózatkezelőket addig kell zaklatni, amíg biztonságosabbá nem teszik a hálózatukat.

A mozgalomnak már rendszeres seregszemléje is van Annual Worldwide Wardrive néven, amelyet tavaly nyáron immár negyedik alkalommal rendeztek meg, és amely ezúttal minden korábbinál lesújtóbb Wi-Fi biztonsági állapotokról adott számot.

Házunk tája

Lesújtó eredményekben hazánk sem marad el a világ élvonalától. A Hungarian Wireless Community (HuWiCo) Szubkult rovatában rendszeresen közöl wardrive-beszámolókat. A társaság honlapján megtalálhatók a térképek és a naplófájlok, melyek segítségével beazonosíthatók az utcán talált hálózatok.

E beszámolók és személyes tapasztalataink alapján elmondható, hogy a hálózatot üzemeltetők zöme a legkézenfekvőbb biztonsági réseket sem igyekszik betömni. Az AP-k (access pointok, a vezetékmentes eszközöket kiszolgáló, azokat a vezetékes hálózathoz kapcsoló intelligens szerkezetek) általában szabadon szórják az éterbe a hálózat azonosítóját (SSID-jét), alapszintű titkosítást vagy szűrést sem használnak, sőt, gyakori az olyan eset is, amikor a teljesen nyílt hálózat AP-je a csatlakozás után DHCP-n keresztül készségesen még IP-címet is ad a behatoló gépnek.

Az IT.News.hu korábban említett gyors reagálású Wi-Fi-vadász egysége éppen tegnap tartott újabb városnézést egy PDA képernyőjén keresztül a 18-as villamos vonalán, a Gellérttől a Moszkváig. A horogra akadt 92 AP-ből 11 volt láthatóan minden védelem nélküli, és lesújtóan sok volt az olyan hálózat, amely a gyárilag beállított SSID-t sugározta a nagyvilágba (valamint megismerkedhettünk a tiszteletet parancsoló ASDF jelzésű hálózattal is. Utólag bánjuk, hogy nem próbáltuk ki az "asdf" jelszót.)

Hogyan védhetjük hát meg hálózatunkat? Mint minden adatvédelemmel kapcsolatos témában, itt is elhúzódó küzdelemre számíthatunk, amelyben mindkét fél csak ideig-óráig tud előnyre szert tenni.

Kezdetben volt a WEP (Wired Equivalent Privacy, vezetékessel egyenértékű biztonság), amely 40 bites és 104 bites titkosítást végez az RC4 algoritmus alkalmazásával. Sajnos azonban – ahogy az törvényszerű – viszonylag rövid idő alatt a WEP-ben is megtalálták a hibákat, réseket, és ezt követően heteken belül megjelentek az első olyan programok, amelyek a kellő mennyiségű lehallgatott hálózati forgalomból (ez az ún. "sniffing") képesek voltak visszafejteni az éppen használatban lévő kulcsot. Mára a WEP titkosítás legfeljebb pár óra alatt feltörhető. Ennek ellenére a használata mindenképpen ajánlott – ajánlottabb, mint a titkosítás teljes mellőzése –, mivel ez a néhány óra haladék is megmentheti rendszerünket a feltöréstől. (Mondjuk, lemerül a hacker laptopjának aksija.)

A következő lépcsőfokot a WPA (Wireless Protected Access, védett vezetékmentes hozzáférés) megjelenése jelentette. Ez sokkal komolyabb titkosítást és felhasználói hitelesítést tartalmaz. Azoknál a – jellemzően otthoni – hálózatoknál, ahol nincs külön autentikációs szerver, amely a teljes értékű WPA titkosításnak feltétele, használható a WPA-PSK (Pre-Shared Key, előre megosztott kulcs) mód is.

Ne lepődjünk meg: tavaly novemberben a WPA-PSK titkosítást is feltörték. Szerencsére a helyzet messze nem olyan kockázatos, mint a WEP esetében. Az úgynevezett "dictionary-attack" egy szótárfájlt használ arra, hogy a megfelelő számú adatcsomag összegyűjtése után a szavak kombinációinak próbálgatásával megpróbálja kinyerni az azonosításnál használt jelszót. A szakértők szerint az egyszerű és 20 karakternél rövidebb jelszavaknál erre jó esélye van a programnak, ezért megelőzésként mindenképpen az javasolható, hogy 20 karakternél hosszabb jelszót használjunk, és lehetőleg szórjuk meg speciális karakterekkel is.

Sokan a VPN-t tartják az egyedül üdvözítő megoldásnak vezetékmentes hálózat esetén. Azt azonban nem szabad elfelejteni, hogy az IPSec-t point-to-point típusú kommunikációhoz fejlesztették ki, nem broadcast típusúakhoz, mint amilyen a Wi-Fi. Ez azt eredményezheti, hogy bár a kliens titkosítva kommunikál, az AP-hoz – ha nem gondoskodunk más védelemről – ettől még boldog-boldogtalan csatlakozhat. Ezért önmagában a VPN használata még nem kielégítő biztonság.

Mindezek ellenére a Wi-Fi – kis odafigyeléssel – nem jár automatikusan szellősebb védelemmel, mint amilyet egy vezetékes LAN képes nyújtani. Bár a vezetékmentes hálózatok biztonsága valóban sebezhető, erre alapot legtöbbször a hálózatok gazdáinak nemtörődömsége és/vagy hozzá nem értése szolgáltat, nem a hálózati technológia maga. Az alábbi lépésekkel biztonságosabbá tehetjük vezeték nélküli otthoni vagy irodai hálónkat:

  • Az első és legfontosabb teendő az AP gyári jelszó-beállításának megváltoztatása. A böngészőn keresztül elérhető konfigurációs panelt is gyári jelszó védi, ezt is változtassuk meg (illetve, ha alapesetben mégsem lenne jelszó, akkor feltétlenül állítsunk be egyet).
  • Változtassuk meg az AP gyári IP-címét is.
  • Kapcsoljuk ki a SSID-broadcastingot. Így ugyan kézzel kell majd beállítani, amikor kapcsolódunk, de semmi szükség rá, hogy az AP közhírré tegye a hálózat azonosítóját.
  • Semmiképp se engedélyezzük a DHCP használatát – ezzel ugyanis mi juttatnánk IP-címhez a betolakodót (bár egy hozzáértőt ez sem akaszt meg pár percnél hosszabb időre).
  • Az újabb AP-ket egy sereg egyéb szolgáltatás mellett tűzfal-funkciókkal is ellátják, ne hagyjuk kihasználatlanul ezt a lehetőséget.
  • Használjunk WEP-et. Bár feltörhető, mégis jobb, mintha semmilyen titkosítás nem lenne a hálózaton. Természetesen, amennyiben lehetőségünk van és eszközeink támogatják, akkor
  • használjunk inkább WPA-t. Ha nincs önálló autentikációs szerverünk, akkor válasszuk a PSK-t, az előző fejezetben taglalt biztonsági elvek figyelembevételével (legalább 20 karakteres jelszó, kerülve az értelmes – főleg angol – szavakat).
  • Állítsunk be MAC-cím alapján történő szűrést. Ezzel korlátozni lehet, hogy milyen hardvercímű eszközök kapcsolódhatnak a hálózathoz.
  • Körültekintően válasszuk meg az AP helyét, és korlátozzuk az erősségét (TX Power) olyan szintűre, hogy épp a mi igényeinket elégítse ki. Ehhez járjuk körbe a használni kívánt helyiségeket és ellenőrizzük, hogy hol elfogadható még a vétel. Ennél lényegesen nagyobb körben sugározni felesleges kockázat. Az AP-t igyekezzünk nagyjából a beszórandó terület közepén elhelyezni.

Egy tökéletes világban most vége lenne a cikknek, minden olvasó elvégezné a fenti beállításokat, és teljes lenne a nyugalom. A szomorú valóság azonban az, hogy ezek az intézkedések csupán megnehezíthetik egy behatoló dolgát. A Wi-Fi hálózatok legsebezhetőbb pontja – azaz hogy a már korábban említett "sniffinggel", vagyis az adatforgalom figyelésével fel lehet deríteni a gyenge pontokat – továbbra is megmarad. Hiszen a továbbító közeg továbbra is a levegő, amely nem titkosítható. Ilyen módon kijátszható például a MAC-szűrés (mivel az engedélyezett hálózati eszközök azonosítói is titkosítatlanul utaznak az éterben, így elcsíphető és lemásolható egy engedélyezett azonosító), feltörhető a WEP, kinyerhető a jelszó.

A kompromisszumot nem ismerőknek csak a WPA-titkosítás jöhet szóba – nem olcsón. Szerencsére küszöbön állnak már azok a megoldások, amelyek kikerülhetővé teszik egy külön autentikációs szerver beállítását, ami eddig csak a nagyobb cégek privilégiuma volt. Az átlagos biztonsággal megelégedőknek pedig a gyakorlatias megközelítés adhat bizakodásra okot: felettébb valószínűtlen, hogy egy hacker az egygépes otthoni hálózatunkat olyan zsákmánynak tartaná, amelyért hajlandó lenne a házunk elől órákon keresztül "sniffelni" a gyér adatforgalmat.

Természetesen a valószínűségben bízni olyankor, amikor a biztonságról van szó, kétélű fegyver. De már az is valami, ha nem mi adjuk a behatolni szándékozók kezébe a kulcsot.

ITCafe.hu, 2005. március 25.

A bejegyzés trackback címe:

https://adatvedelem.blog.hu/api/trackback/id/tr861594817

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.