WEP and weep... - MujMAC.cz - Apple, Mac OS X, Apple iPod

13. prosince 2006, 00.00 | V našem seriálu, v němž se podrobně zabýváme bezpečností operačního systému Mac OS X, se v současnosti zabýváme zabezpečením počítačové sítě. V předminulém dílu jsme si ukázali základy nastavení, jež platí pro libovolnou síť; minule jsme se seznámili s vhodným nastavením sítě bezdrátové, AirPortu.

Ovšem... pojem vhodné nastavení je zde přinejlepším diskutabilní. Dnes si řekneme proč – a jak to zlepšit.

V našem seriálu, v němž se podrobně zabýváme bezpečností operačního systému Mac OS X, se v současnosti zabýváme zabezpečením počítačové sítě. V předminulém dílu jsme si ukázali základy nastavení, jež platí pro libovolnou síť; minule jsme se seznámili s vhodným nastavením sítě bezdrátové, AirPortu.

Ovšem... pojem vhodné nastavení je zde přinejlepším diskutabilní. Dnes si řekneme proč – a jak to zlepšit.

Co je špatného na WEP?

V minulém dílu jsme si řekli, že při nastavení bezdrátové sítě AirPort vždy určíme, že síť má používat stodvacetiosmibitové šifrování WEP. To je do jisté míry rozumná rada – protože Mac se standardním hardware zahrnujícím pouze kartu AirPort a standardním software nic lepšího neumí! (Firma Apple udává, že problém není v Mac OS X, nýbrž v čipsetu; možná je to dokonce i pravda – musím se upřímně přiznat, že toto rozhodnout neumím, a definitivní odpověď se mi ani nepodařilo nalézt na Webu.)

Na druhou stranu však WEP není žádná zvláštní výhra. Vůbec nemá smysl hovořit o čtyřicetibitovém WEP; ostatně celou dobu jsme si jasně říkali, že budeme používat klíč délky 128 bitů. Bohužel ani ten naprosto neznamená, že by se naše komunikace nedala odposlouchávat: existují systémy, jež podporují WEP s klíčem délky 256 bitů (Mac OS X mezi ně nepatří), ale ty jsou jen o málo bezpečnější.

Aniž bychom zacházeli do teorie (již si zájemce může snadno nalézt na Webu), základní problém šifrování WEP spočívá – s trochou na této úrovni nepodstatného zjednodušení – v tom, že protokol je založen na čtyřiadvacetibitovém transportním klíči, odesílaném s každým paketem; tento klíč se zřetězí s klíčem WEP pro šifrování. Odtud, mimochodem, vyplývá na první pohled poněkud matoucí fakt že stodvacetiosmibitový WEP má ve skutečnosti klíč délky 104 bitů (104+24=128).

Transportní klíč by teoreticky měl být pro každý paket odlišný a náhodný; je ovšem celkem zřejmé, že při rozsáhlejším provozu na síti to není možné dodržet. Proto stačí odchytit relativně nízké množství paketů (řádově desítky tisíc) pro úspěšné prolomení šifry.

Řešením je WPA...

Novějším systémem šifrování bezdrátových sítí je WPA (mimochodem, WEP znamená "Wired Equivalent Privacy", zatímco WPA je zkratka za "Wi-Fi Protected Access").

Standard WPA řeší v podstatě všechna slabá místa šifrování WEP: transportní klíč je dvojnásobné délky – čtyřicet osm bitů namísto dvaceti čtyř – ale hlavně je systém WPA vybaven systémem, který v průběhu používání sítě dynamicky mění klíč (TKIP – "Temporal Key Integrity Protocol"). Díky němu není možné šifrování WPA zlomit týmž způsobem, jemuž WEP snadno podléhá.

Šifrování WPA nabízí řadu dalších možností a vylepšení, jež zahrnují lepší zajištění integrity, potenciální možnost využití autentifikačního serveru, který každému uživateli přidělí vlastní heslo, odlišné od všech ostatních (v Mac OS X je tato úroveň nazývána "WPA Enterprise"), a podobně.

... pokud je k dispozici

Mac OS X samozřejmě WPA podporuje; nikoli však v režimu, jímž jsme se až dosud zabývali, kdy je počítač vybavený kartou AirPort využíván pro vytvoření nové bezdrátové sítě: v takovém případě nezbývá, než se držet stodvacetiosmibitového WEP (a zároveň dodržovat důsledně ostatní možnosti zabezpečení, případně – je-li bezpečnost komunikace důležitá – použít kupříkladu tunelování prostřednictvím VPN; těmito možnostmi se budeme zabývat později).

Pokud ovšem je bezdrátová síť založena na AirPort Base Station, na stanici AirPort Express, nebo na (víceméně libovolném) 3rd party bezdrátovém routeru, máme šifrování WPA k dispozici – a také je pak můžeme zvolit.

Mac OS X se do takové sítě samozřejmě jako klient připojit dokáže: potřebujeme-li to, spustíme aplikaci Internet Connect, při výběru sítě zvolíme "Other", a pak již můžeme požadovanou úroveň šifrování zvolit pomocí nabídky "Wireless Security":