Bezpečná brána do světa

Bezpečnosti při připojení k internetu se věnuje v poslední době stále více
pozornosti. Hackeři využívají slabin jak přenosových protokolů, tak i vlastních

aplikací, takže musíme mít dokonalý přehled o tom, které aplikace, adresy či

porty používáme, a které raději zakážeme. To nám zajišťují bezpečné brány, na

nichž můžeme všechny potřebné parametry nastavit.



Od podzimu loňského roku jsme měli k dispozici univerzální bránu 3Com OC

Wireless 11g Cable/DSL Gateway, kterou lze připojit na libovolnou přípojku k

internetu. U výrobků dalších producentů jsou postup při konfiguraci a funkčnost

obdobné, takže jsme se rozhodli, popsat na ní celý postup při zabezpečeném

připojení k internetu. Po přečtení tohoto článku by pro vás nemělo být žádným

problémem připojit se bezpečně k internetu, a především nevynechat žádný

důležitý krok, který je nutný pro zabezpečení přístupu zvenčí a k zajištění

vlastní sítě LAN, především její bezdrátové části. Ta je vlastně prodloužením

vaší domácí LAN sítě do volného prostoru, takže zabezpečení zvláště této části

sítě není dobré podceňovat.



3Com OC Wireless 11g Cable/DSL Gateway

Jedná se o bránu sloužící ke sdílení širokopásmového připojení k internetu pro

více uživatelů současně. Kromě sdílení internetu je v zařízení integrován

firewall s virtuální demilitarizovanou zónou, bezdrátový přístupový bod

pracující dle IEEE standardu 802.11g rychlostí až 54 MB/s a čtyřportový

přepínač 10/100 Ethernetu. Ačkoliv by se z názvu mohlo zdát, že je brána určena

pouze pro připojení k ADSL či k internetu po kabelové televizi, lze ji použít

prakticky kdekoliv. Na „internetové straně“ je tato brána vybavena 10/100

ethernetovým portem, takže ji lze připojit na libovolnou přípojku k internetu

zakončenou právě Ethernetem. Zařízení se spravuje prostřednictvím webového

rozhraní a vytvořenou konfiguraci lze zálohovat, a v případě potřeby obnovit v

libovolné bráně stejného typu.



První kroky – využijte konfiguračního průvodce

Po rozbalení a zapojení napájení brána startuje přibližně 10 vteřin. Během

startovacího procesu na předním panelu brány bliká kontrolka ALERT. Když

natrvalo zhasne, zařízení je připraveno k základní instalaci. Ta se provádí z

počítače vybaveného takřka libovolným operačním systémem (podporován je Linux,

Windows i MAC OS) s podporou IP protokolu prostřednictvím webového prohlížeče.

Dále v textu je postup konfigurace popsán pro operační systémy Windows, na

jiných operačních systémech se jednotlivé kroky provádějí taktéž, ale syntaxe

některých z nich může být mírně odlišná.

Počítač, ze kterého provádíte inicializační konfiguraci brány, připojte k bráně

přes ethernetovou kartu přímým nebo kříženým kabelem (ano, je to jedno,

zařízení podporuje automatické zjištění typu kabelu). Správnost zapojení

zjistíte tak, že se rozsvítí příslušná kontrolka ethernetového portu. Pokud

svítí žlutě, jste připojeni Ethernetem (10 Mb/s), svítí-li zeleně, jste

připojeni Fast Ethernetem (100 Mb/s). Poblikávání stavové diody portu znamená,

že daný port přenáší data.

Dalším krokem je nastavení počítače tak, aby získával IP adresu od DHCP serveru.

DHCP server je služba běžící na bráně, která na základě požadavku přidělí

počítači dynamickou IP adresu, subnet masku a adresu brány tak, že odpovídá

vnitřní adresaci sítě. To celý proces komunikace mezi bránou a počítači ve

vnitřní části sítě urychluje a zjednodušuje. Na počítači s operačním systémem

Windows 2000 nebo Windows XP zkontrolujete používání DHCP ve Vlastnostech

síťové karty, protokol sítě internet (TPC/IP). Musí být nastaveno automatické

získávání IP adresy i IP adresy DNS serveru. Dynamická IP adresa znamená, že si

ji počítač z DHCP serveru pronajímá na omezenou dobu, po jejímž uplynutí může

být tato IP adresa pronajata jiné stanici, pokud původní vlastník této IP

adresy nezažádá o prodloužení nájmu. Může to znít složitě, ale celý proces je

plně automatický a běží bez zásahu uživatele.

Správnost získání IP adresy lze velmi snadno ověřit tak, že v příkazové řádce

napíšete příkaz „ipconfig“. Tento příkaz zobrazí aktuální IP adresu počítače, a

ta by v případě správného získání z DHCP serveru nenakonfigurované brány měla

mít tvar 192.168.1.X, kde X se pohybuje v rozpětí od 2 do 254. Brána sama má v

továrním nastavení IP adresu lokální sítě 192.168.1.1 s maskou 255.255.255.0.

Pokud adresu od DHCP serveru brány nezískáte, zkontrolujte znova nastavení

počítače a případně jej restartujte.



Vlastní konfigurace brány

Přístup ke konfiguračnímu rozhraní brány získáte tak, že ve webovém prohlížeči

zadáte adresu http://192.168.1.1/ a stisknete Enter. V prohlížeči se načte

úvodní stránka brány, ve které se ověřuje vaše heslo pro přístup k zařízení.

Defaultní heslo je „admin“, v konfiguraci dále jej doporučuji změnit. Po zadání

hesla se načte další stránka, která po vás požaduje zvolit zemi, v jaké je

zařízení využíváno. To je důležité z hlediska rádiové části brány, protože

volbou země dojde ke správnému nastavení vysílacího výkonu integrovaného

bezdrátového bodu a povolení kanálů, tak aby zařízení pracovalo v souladu s

normami příslušné země. Nikdy proto nevolte jinou zemi, než tu, kde je zařízení

užíváno. Po potvrzení volby země vyskočí nové samostatné okno prohlížeče, ve

kterém se spustí konfigurační průvodce. Hned prvním krokem, který vám průvodce

nabídne, je změna hesla. Dalším krokem je nastavení časové zóny, kde se

zařízení nachází. Česká republika je v časovém pásmu GMT +1:00 a na této

stránce zaškrtněte i využívání změny času. Brána totiž nemá vlastní hodiny,

které by pracovaly i v případě vypnutí brány, ale informaci o čase si

automaticky stahuje z internetu a upravuje na správnou hodnotu o rozdíl

časového pásma a zda je letní či zimní čas. To je důležité pro přesnost

časových údajů v protokolu o činnosti, který si brána vede.



Nastavené připojení k internetu

Dalším krokem v průvodci je nastavení připojení k internetu. Jak již bylo v

úvodu zmíněno, brána na straně internetu vyžaduje přístupové zařízení s

ethernetovým portem. Tím může být například router, ADSL modem, kabelový modem,

bezdrátové pojítko či vlastní ethernetový rozvod internetu přímo od

poskytovatele. Podívejme se, jak by se správně konfigurovalo zařízení ve třech

různých typech připojení:

• ADSL – Zvolte PPTP – pro připojení je třeba přepnout ADSL modem do režimu, ve

kterém PPTP spojení neinicializuje modem, ale zařízení připojené až za modemem.

Na bráně poté zvolíte způsob připojení PPTP a přepíšete do jednotlivých políček

údaje dodané poskytovatelem ADSL. V dalším kroku nastavíte IP adresu brány, ze

které se bude provádět inicializace PPTP tunelu. Pro správný údaj stačí

stisknou tlačítko „Suggest“, brána si vhodnou IP adresu nastaví sama. IP adresa

uvedená jako PPTP server je adresou LAN portu vašeho ADSL modemu, nikoliv IP

adresou, pod kterou bude vaše brána dostupná z internetu. Na ADSL jsou totiž IP

adresy přidělovány dynamicky, a to i v případě, že vám poskytovatel garantuje

pevnou internetovou adresu. Přidělenou internetovou IP adresu lze zjistit v

menu Status po dokončení konfiguračního průvodce.

• Kabelovým modemem – Zvolte via DHCP – i zde je IP adresa bráně obvykle

přidělována poskytovatelem dynamicky, a to s možnou vazbou na jméno či MAC

adresu koncové stanice, na kterou byla sepsána smlouva o připojení. Obojí lze

samozřejmě v průvodci modifikovat. Pokud máte službu vázanou například na MAC

adresu síťové karty vašeho počítače, lze tuto MAC adresu vložit i do brány tak,

že z pohledu poskytovatele nelze rozpoznat, zda se jedná o bránu či počítač.

Obecně jsou k dispozici 3 možnosti: 1. nemodifikovat původní MAC adresu brány

2. zkopírovat MAC adresu počítače, ze kterého se provádí konfigurace (tuto

volbu využijte v případě, že jste dříve měli ke kabelovému modemu přímo

připojený právě tento počítač) 3. manuální změnu MAC adresy. Tuto volbu

využijte v případě, že provádíte novou instalaci jak kabelového modemu, tak

brány a poskytovateli jste již dříve dali MAC adresu, ze které se budete k

internetu připojovat.

• Čímkoliv ostatním s ethernetovým portem a pevnou IP adresu – Pokud vás

poskytovatel připojení k internetu vybaví libovolným přístupovým zařízením a na

předávacím protokolu je uvedena pevná IP adresace, kterou si do svého zařízení

máte zadat, volte Static IP address. Dodané údaje vložte do následujícího menu

průvodce.



Nastavení IP adresace lokální sítě

Po zadání způsobu připojení k internetu vás průvodce vyzve k nastavení IP

adresace lokální sítě. Položky LAN IP address a DHCP server setup

nemodifikujte, pokud to nevyžadují zvláštní okolnosti, jako například shodná IP

adresace LAN a WAN sítě v případě, že i váš poskytovatel využívá překlad adres

(NAT) a přiděluje IP adresy z „privátního prostoru“.

Princip činnosti brány, privátní a veřejné IP adresy a jejich překlad: Činnost

brány je založena na schopnosti zařízení využít jednu veřejnou IP adresu a

jejím prostřednictvím umožnit komunikaci všech stanic vnitřní sítě do

internetu. Rozdíl mezi privátní a veřejnou IP adresou spočívá v tom, že veřejná

IP adresa je na světě unikátní, a pokud není specificky omezeno, je zařízení s

veřejnou IP adresou dostupné z celého internetu. Oproti tomu privátní adresace

využívá adresných prostorů vyhrazených mezinárodní autoritou pro přidělování IP

adres (IANA) pro použití v sítích, kde není nutná trvalá dostupnost zařízení z

internetu. K systému využívání privátních adres se začalo přecházet v první

polovině devadesátých let ruku v ruce s prudkým rozvojem internetu. Bylo jasné,

že počet veřejných IP adres je pouze limitovaný a při tehdejším nehospodárném

přidělování by se brzy vyčerpal. Dokumentem RFC1597 jsou privátní adresné

prostory specifikované v následujících rozsazích: 10.0.0.1–10.255.255.255,

172.16.0.0–172.31.255.255 a 192.168.0.0–192.168.255.255, proto pokud budete

modifikovat IP adresaci lokální sítě, volte z těchto vyhrazených rozsahů.

Překlad adres brána provádí tak, že požadavky komunikace z vnitřní sítě na

internet přebírá a vysílá do internetu s pozměněnou zdrojovou IP adresou. Na

místo původní IP adresy odesilatele, která je z privátního adresného prostoru,

použije veřejnou IP adresu přidělenou bráně. U všech navázaných spojení si

pamatuje iniciální adresu stanice z vnitřní části sítě, a když obdrží odpověď,

přepošle ji na původního tazatele. Technika překladu adres umožňuje bráně

realizovat i funkci virtuální demilitarizované zóny. Tuto funkci využijete v

případě, že hodláte zveřejnit nějakou službu na internet. Například, pokud

byste chtěli zveřejnit interní webový server na internet a využíváte tuto

bránu, stačí bráně sdělit IP adresu tohoto serveru a typ aplikace, který

hodláte publikovat. Limitem virtuální demilitarizované zóny je, že pro každou

aplikaci lze publikovat pouze jeden server. V bráně jsou nejčastěji využívané

aplikace již zadané. Pokud hodláte publikovat zde nedefinovanou aplikaci,

musíte si dopředu zjistit UDP/TCP číslo portu, kterým se s aplikací navazuje

spojení.



Nastavení bezdrátové části

Brána je vybavena bezdrátovým přístupovým bodem s teoretickým dosahem až 100

metrů v otevřeném prostranství. Dosah v zastavěném prostoru či uvnitř budov je

velmi proměnný v závislosti na prostředí. V průvodci nastavením jste v prvním

kroku dotázáni, jaký kanál si přejete bráně přidělit a jak se má jmenovat vaše

bezdrátová síť (SSID). Optimální volbou v případě kanálu je Clear Channel

Select, což znamená, že brána po zapnutí poslouchá chvíli na všech 13 kanálech

a automaticky zvolí kanál, na kterém detekuje nejmenší rušení. Stejný proces

použije po každém restartu, takže se využívaný kanál může časem změnit. Název

sítě je taktéž vhodné modifikovat, tentokrát však ne z praktických, ale spíše

bezpečnostních důvodů. Je vhodné, aby název SSID nebylo možné spojovat jak s

typem zařízení, tak s jeho majitelem. Tím končí zjednodušené nastavení brány

pomocí konfiguračního průvodce. Po posledním odkliknutí se vložená nastavení

hromadně vykonají a brána bez nutnosti restartu začne pracovat s novou

konfigurací. Pokud jste prováděli změnu IP adresace využívané v lokální síti,

je třeba obnovit IP adresu z DHCP serveru brány. To provedete příkazem

„ipconfig/renew“ v příkazové řádce.



Pokročilá konfigurace brány

Konfigurační průvodce brány umožní provést pouze základní nastavení. Z

bezpečnostních důvodů je vhodné, abyste v konfiguraci pokračovali alespoň

změnami v bezdrátové části brány a případně, pokud hodláte bránu spravovat na

dálku přes internet, abyste v menu Firewall/Security specifikovali adresný

prostor, ze kterého lze bránu vzdáleně spravovat.



Teorie integrovaného bezdrátového přístupového bodu

Na počátku je potřeba si uvědomit, že bezdrátová síť u této brány není úplnou

náhradou konvenční LAN sítě, ale je jejím efektivním rozšířením. Dává mobilnímu

uživateli svobodu pohybovat se po budově nebo po areálu pokrytém bezdrátovým

signálem a přitom být stále připojený, mít přístup k aplikacím na lokálním

serveru či k internetu, přijímat a odesílat elektronickou poštu a tisknout

dokumenty. Slabší stránkou bezdrátových sítí pracujících dle standardu 802.11

je to, že se jedná o sdílené médium, jehož reálné přenosové rychlosti jsou

daleko vzadu za rychlostmi, které jsou těmto standardům přiřazovány. Pojďme se

podívat na základní pojmy z oblasti bezdrátových sítí. Určitě jste již slyšeli

o takzvaném Wi-Fi, což bývá používáno jako synonymum pro zařízení bezdrátových

sítí pracující dle standardu 802.11b až do rychlosti 11 Mb/s (teoretická

rychlost) v nezpoplatněném rozprostřeném pásmu 2 400–2 483,5 MHz. Pro svoji

komunikaci využívají 13 přenosových kanálů (pozor, kanály se překrývají a

některé mohou být zarušené, proto raději volte funkci Clear Channel Select).

Wi-Fi označení znamená, že se jedná o zařízení pracující přesně dle daného

bezdrátového standardu a je plně interoperabilní s ostatními zařízeními s

certifikátem Wi-Fi pro daný standard. Od konce léta loňského roku existuje i

nový standard 802.11g, který je zpětně kompatibilní s 802.11b, tudíž i pracuje

ve stejném pásmu. Nabízí však skoro 5násobně lepší rychlost (teoreticky 54

Mb/s), takže pokud se dnes budete rozhodovat také pro nákup koncového zařízení

(PCMCIA, PCI nebo USB bezdrátové karty), bude již lépe volit některé z Wi-Fi

certifikovaných 802.11g zařízení. Reálné přenosové rychlosti na bezdrátové

části této brány se při nejlepší kvalitě signálu pohybují u klienta pracujícího

dle staršího standardu 802.11b kolem 6 Mb/s a u klienta s kartou 802.11g je to

pak kolem 23 Mb/s. Abyste nenabyli dojmu, že se zařízením není něco v pořádku,

reálné přenosové rychlosti jsou u zařízení pracujících dle těchto standardů

opravdu asi poloviční, než je jejich teoreticky udávaná rychlost. Daleko horší

zprávou je, že pokud do sítě přidáte další mobilní klienty, kumulovaná

přenosová rychlost ještě více klesá. Speciálně pak u přístupových bodů 802.11g,

pokud se mezi uživateli vyskytují i klienti s kartou pracující dle 802.11b. Z

toho vychází jasná rada, že pokud máte zájem, aby vaše 802.11g bezdrátová síť

byla spolehlivá a co nejrychlejší, používejte pouze Wi-Fi certifikované karty

pracující dle novějšího standardu. Seznam aktuálně certifikovaných zařízení

všech výrobců naleznete na stránkách http://www.wi-fi.org.

Praxe integrovaného bezdrátového přístupového bodu

Po nastavení konfiguračním průvodcem je v bezdrátové části brány umožněn

přístup do lokální části sítě i internetu komukoliv bez omezení. Pro dokonalé

zabezpečení bezdrátové sítě je třeba provést následující kroky:

1.Zakázat vysílání názvu bezdrátové obsluhované oblasti. V menu Configuration

by mělo zůstat prázdné políčko Enable broadcast SSID. Tím zabezpečíte, že název

vaší sítě nebude volně viditelný pro mobilní klienty, a bez zadání správného

SSID se klient nedokáže připojit.

2.Zvolit vhodné šifrování. V menu Encryption, pokud máte všechna koncová

zařízení s podporou WPA, nejlépe i s Wi-Fi certifikací pro WPA, zadejte

šifrování WPA. Pamatujte, že všichni bezdrátoví klienti připojující se k bráně

musí mít stejně nastavený šifrovací algoritmus a předsdílený klíč, jinak

nebudou moci komunikovat. Jak u WPA, tak i u WEP šifrování můžete vložit klíč

manuálně nebo pomocí parafráze, ze které se klíč automaticky vygeneruje.

Parafrázi používejte pouze v případě, že klientské karty jsou od firmy 3Com;

protože se jedná o nestandardizovaný postup, zařízení jiných výrobců nemusejí

využívat shodný postup generování klíče z parafráze.

3.Řídit připojování bezdrátových stanic. V menu Connection control zvolte „only

authorised Wireless…“ a do nově otevřeného okna vložte MAC adresy

bezdrátových síťových karet, kterým chcete povolit přístup do lokální sítě a k

internetu prostřednictvím vaší brány. Všechny ostatní bezdrátové karty nebudou

moci s vaší bránou komunikovat.

Na straně bezdrátového klienta pro jeho úspěšné připojení k bráně musíte

nastavit následující parametry:

1.Kartu nastavit do infrastrukturního modu

2.Mít nastavený shodný název bezdrátové oblasti (SSID) jako brána

3.Používat automatickou volbu kanálu (dnes běžná funkce u všech bezdrátových

klientů, nicméně pokud to mobilní klient neumožňuje, budete na bráně muset

nastavit některý z kanálů napevno a stejné číslo kanálu následně vložit i do

klienta)

4.Používat stejný typ šifrování a šifrovacího klíče

5.Zkontrolovat, zda je správně zadaná MAC adresa bezdrátové síťové karty v

seznamu povolených klientů

Pokud dodržíte tento postup, bezdrátová část vaší brány bude optimálně

zabezpečena proti odposlechu a neoprávněnému vniknutí do lokální sítě či

zneužívání vašeho internetového připojení.



Něco je špatně? Pár dobrých rad nakonec



Ztráta hesla či IP adresy brány

Pokud se vám náhodou stane, že zapomenete přístupové heslo na bránu, či si

omylem vypnete DHCP server a zapomenete IP adresu brány, lze ji snadno uvést do

továrního nastavení. Stačí bránu vypnout a jedním kabelem, který jste doposud

využívali na propojení brány s počítačem, propojte LAN a WAN port brány. Bránu

zapněte, a asi po 30 vteřinách zase vypněte. Rozpojte smyčku, a po dalším

zapnutí brány již bude nastavena v továrním nastavení. (Vraťte se na začátek

tohoto návodu a konfiguraci si zopakujte :-)



Aktualizace firmwaru

Brána je něco jako počítač; operační systém se vyvíjí a upgradem operačního

systému brány (firmwaru) můžete získat nové funkce či odstranit problém, se

kterým jste si dosud nevěděli rady. Proto se občas podívejte na webové stránky

společnosti 3Com, zda se pro zařízení neobjevil nový firmware. Pokud ano,

stáhněte si jej na lokální počítač a zazipovaný soubor rozbalte. Bude obsahovat

popis vylepšení pro bránu a firmware, který prostřednictvím webového rozhraní

do brány za několik vteřin nahrajete. Nahrání nového firmwaru se inicializuje v

menu System Tools/Upgrade. Po nahrání nového firmwaru a restartu není třeba

bránu znova konfigurovat, ponechá si původní nastavení.



Bezpečnost bezdrátových sítí

Komunikace v pásmu 2,4 GHz je jako většina rádiových přenosů všesměrová a

všichni uživatelé obvykle sdílejí zvolený přenosový kanál tak, že pokud jeden

uživatel přenáší data, ostatní naslouchají. Situace by se zjednodušeně dala

přirovnat ke komunikaci prostřednictvím klasického ethernetového opakovače.

Každý, kdo je v dosahu bezdrátového přístupového bodu a je vybaven příslušným

bezdrátovým adaptérem, může přijímat stejný signál jako autorizovaný uživatel.

Proto je více než jasné, že systémy bezdrátového přenosu musejí být vybaveny

důkladnými bezpečnostními funkcemi, aby se bezdrátová komunikace dala považovat

za bezpečnou. Systém zabezpečení bezdrátových sítí je obvykle kombinací ověření

a šifrování. Podívejme se nyní, jak jednotlivé základní prvky bezpečnosti v

bezdrátových sítích pracují a jaké jsou možnosti ověřování a zabezpečení

přenosu dat.



Identifikátor obsluhované bezdrátové oblasti

Základním prvkem technologie bezdrátových sítí je informace o názvu obsluhované

bezdrátové oblasti, ke které se uživatel připojuje (takzvaný Service Set

Identifikátor SSID). Tento identifikátor jednoznačně určuje, ke které

bezdrátové síti se klient hodlá připojovat, a musí být totožný jak na

přístupovém bodu bezdrátové sítě, tak u klienta této sítě. Jedná se o

hexadecimální řetězec o délce až 32 znaků, jenž má zabezpečit komunikaci

klienta s vyžádanou sítí. SSID však v současné době nemůžeme požadovat za

platný bezpečnostní prvek, protože s rozvojem a zjednodušením technologie je

většina bezdrátových karet schopna automaticky detekovat dostupné bezdrátové

sítě a tuto informaci z okolního provozu jednoduše použít. V případě, že

bezdrátový přístupový bod nevysílá veřejně svůj název SSID, lze jej z

bezdrátové komunikace odposlechnout. I přesto, pokud to bezdrátový přístupový

bod umožňuje, zablokujte veřejné vysílání názvu SSID.



Komunikace na základě povolených MAC adres

Dalším prvkem, který bychom mohli zahrnout do bezpečnostních vlastností

bezdrátových sítí, by se mohla stát jednoznačná identifikace připojujících se

uživatelů. Identifikace na základě jedinečné MAC adresy každé bezdrátové karty

a jejího porovnání s tabulkou autorizovaných klientů v databázi přístupového

bodu. Nicméně ani tato technologie bohužel neposkytuje byť jen základní

bezpečnost. Z rádiové komunikace lze odposlechnout, které MAC adresy jsou na

konkrétním přístupovém bodu autorizované, a jednoduchým zásahem do klientského

systému lze MAC adresu upravit tak, aby odpovídala jakékoliv z autorizovaných.



Počátky šifrování – Wired Equivalent Privacy (WEP)

Z výše uvedených vlastností bezdrátové sítě vyplývá potřeba celou komunikaci

důsledně šifrovat. Proto byl do standardu 802.11 a jeho následníků 802.11b a

802.11g přidán systém, který měl zajistit úroveň bezpečnosti, jaká je dostupná

na běžných, „drátových“ sítích. Jedná se o šifrování veškeré bezdrátové

komunikace pevným klíčem o délce 40 bitů (jsou využívány i delší klíče, ty

ovšem nemají oporu ve standardu). Sdílený tajný klíč je používán k zašifrování

paketů před odesláním bezdrátovou cestou a paket je také doplněn o kontrolní

součet, který zajišťuje, že přenášený paket nebyl během cesty poškozen. WEP

standard však nehovoří o způsobu, jakým je klíč generován, a tak většina

stávajících řešení nabízí jen pevné nastavení klíče na obou stranách (jak v

přístupovém bodu, tak u všech autorizovaných mobilních klientů). Pomineme-li

veškerá bezpečnostní rizika spojená s vlastním nastavováním pevného sdíleného

klíče, v poslední době se objevilo množství způsobů, jak bezdrátové sítě

používající technologii WEP napadnout. Jedná se zejména o pasivní odposlech,

následné rozlomení šifry technologií srovnávání paketů a statistické predikce a

výsledné získání používaného klíče. S běžně dostupnými prostředky (informace a

programy volně dostupné na internetu) je hrozba prolomení WEP ochrany více než

vážná. Kombinací SSID, tabulky MAC adres a šifrováním WEP tak lze dosáhnout jen

omezené úrovně zabezpečení, ovšem pro domácí použití prozatím dostačující.



Bezpečný přístup – Wi-Fi Protected Access (WPA)

Je novým Wi-Fi standardem, který znatelně vylepšuje bezpečnost dosažitelnou

dříve používáním starších technologií, a prakticky tak eliminuje veškeré známé

útoky, které se daly využít k prolomení sítě chráněné WEP technologií. WPA

používá vylepšený šifrovací algoritmus s dynamickým klíčem, ověřování a

kontrolní systém integrity paketů, který dokáže jednoznačně detekovat podvržené

pakety. WPA technologie by u Wi-Fi certifikovaných zařízení neměla jít používat

současně s WEP technologií, nicméně všechny prvky, které jsou certifikované

Wi-Fi dle standardu 802.11g, by již technologii WPA měly mít obsaženou v

základní výbavě. U produktů 802.11b to není podmínkou, ale u většiny

modernějších zařízení solidní výrobci umožňují provést softwarový upgrade

taktéž. U koncových zařízení je implementace WPA techniky záležitostí

operačního systému, takže lze obecně říci, že karty s ovladači pro Windows 2000

a Windows XP mohou využívat WPA, protože podpora WPA byla v rámci opravných

balíčků (Service Packu 4 u Windows 2000 a Service Packu 1 u Windows XP) do

těchto systémů přidána.



Doporučení

Mají-li vaše zařízení Wi-Fi certifikát pro WPA, dejte přednost WPA před WEP.

Nebudete se muset bát, že je ve vašem okolí hacker-začátečník, který si přečetl

pár návodů na internetu a několik hodin nato získal přístup do vaší sítě.