שתף קטע נבחר
 

רשתות האלחוט: בעיית האבטחה

למרבה הצער, מרבית הרשתות האלחוטיות החדשות אינן מאובטחות. מרגע שפולשים נצמדו לנקודת רשת לא מאובטחת, יש להם גישה לרשת ולחיבור האינטרנט שלכם. כיצד אפשר להתמודד?

דיויד ינובסקי וסטפני צ'אנג, PC Magazineפורסם:  01.10.03 , 00:52

 

לדף הקודם.

 

בין אם לעסק ובין אם לשימוש ביתי - רשתות תקשורת אלחוטיות אמורות להיות מאובטחות - ובמינימום שבמינימום זה אומר להפעיל את ה-WEP. בקרוב יהיו עוד אלטרנטיבות. הנוחות שברשת שאינה כבולה לקירות, בצירוף מחירי ציוד התקשורת האלחוטי הצונחים במהירות, הובילו להתפוצצות במספר התקנות רשתות אלחוטיות WLAN. למרבה הצער, מרבית הרשתות החדשות אינן מאובטחות.

 

בניגוד לרשתות המסורתיות, הנשענות על תשתית כבלים המונחת עבורן במיוחד, הרשתות האלחוטיות פועלות בחלל האוויר. עם טווח המגיע עד 100 מטרים, כל אחד יכול ליירט אותן. ומרגע שפולשים נצמדו לנקודת רשת לא מאובטחת, יש להם גישה לרשת ולחיבור האינטרנט שלכם. תיאורטית, הם יכולים לפתוח - למחוק קבצים, להשתמש בשרתי הדואר שלך כדי לפתוח במתקפת דואר זבל או DOS, או להפיץ את סודות הבית לכל דורש.

 

ה-WEP אכזב

 

ב-1999 ניסה איגוד ה-IEEE להתמודד עם בעיות אלו בעזרת מנגנון אבטחה מונחה הצפנה בשם WEP (קיצור של Wired Equivalent Privacy). מאז הוכח ש-WEP הוא בלתי בטוח באופן בסיסי. פולש המצויד בכלי פריצה פשוטים הניתנים להשגה ברשת, כדוגמת AirSnort, יוכל לחדור בסופו של דבר ולמצוא את מפתח ה-WEP שלך - כל מה שנדרש הוא לקלוט ולנתח מספיק חבילות המידע הנעות ברשת שלך.

 

מאחר ומפתחות WEP הם סטטיים בדרך כלל, המידע הרלוונטי יכול להיאסף על ידי ההאקר בנוחות במשך זמן ארוך, שעות או ימים, בהתאם לנפח התנועה ברשת. באופן דומה, מנגנון אימות הזהות ברוב הרשתות האלחוטיות חלש מאוד. בגישה למערכות פתוחות, הלקוח אמור לדעת רק את קוד מזהה השירות הבסיסי של הרשת (SSID - Service Set Identifier) כדי להתחבר.

 

מאחר ורוב נקודות הגישה משדרות את ה-SSID כעשר פעמים בשניה, וחלונות 2000 ו-XP מציגה את נתוני ה-SSID של הרשתות שהן קולטות, ברור שזה לא חלק ממערכת ההגנה שתשמור עליך. לבסוף, יש סינון בהתאם לכתובת החומרה MAC (Media Access Control). נקודת הגישה מאפשרת כניסה לרשת רק לציוד חומרה (כרטיס, למשל) שכתובת ה-MAC שלו הוכרה כזכאית לכניסה. אבל גם כתובות MAC משודרות כל הזמן לאוויר, וכמו במקרים אחרים, ההאקר יכול "לקטוף" אותן משם בקלות.

 

כשהאבטחה מופסקת

 

החלק העצוב עוד יותר הוא, שעבור רשתות אלחוטיות רבות, כל הדיון הזה מיותר ממילא. כמעט כל ציוד רשת אלחוטי משווק כאשר מנגנוני האבטחה שלו מכובים, ומרבית המשתמשים לא טורחים להפעילם כלל. עם אפשרויות האבטחה כבויות, המוצרים עובדים "ישר מתוך הקופסה", דבר המשרת את היצרנים שרוצים להבטיח ללקוחות חוויה קלה מתהליך ההתקנה (וגם פחות שיחות למרכז התמיכה הטלפוני).

 

בינתיים אנשים רבים אינם חוזרים לכוונן את המערכת אחרי שהתקינו אותה - הם שכחו או פשוט התעלמו מהאפשרות של הפעלת שירות WEP, ונשארו חשופים בסייברספייס. במהלך השנים האחרונות, נשמעו מספיק סיפורים על "לוחמי דרכים" המסתובבים עם מחשבים נישאים, כשהם מחפשים רשתות פתוחות או בלתי מאובטחות.

 

ב-2001 בדק המגזין המקוון ExtreemTech (מוצר-אח של PC Magazine) את המצב ברחובות ניו-יורק ומצא כי רק ב-40% מהרשתות שאותרו הופעלה בכלל מערכת WEP. שנה וחצי מאוחר יותר, ולמרות התחושה המתגברת של הצורך באבטחה, המחקרים מראים שאחוז הרשתות הפרוצות והלא בטוחות נשאר פחות או יותר זהה.

 

המושיע הוא 802.11i

 

בהכירם בעובדה שהאבטחה הנמוכה היא מהמורה משמעותית להעמקת השימוש ברשתות אלחוטיות, ייסדה קבוצת 802.11 של איגוד IEEE קבוצת עבודה בשם "i". התוצר של הקבוצה הזו יהיה תקן האבטחה 802.11i, שיתמודד עם החולשות של ה-WEP. התקן החדש יכלול את כללי אימות הזהות שכבר אושרו במסגרת תקן 802.1x, ניהול מפתחות מוצפנים, ותמיכה בפרוטוקולים TKIP (Temporal Key Integrity Protocol) ו-AES (Advanced Encryption Standard).

 

אבטחה של רשתות אלחוט שתתבסס על התקן החדש תהיה למעשה "חסינת חדירה" ותענה לדרישות הממשל האמריקני בנושא אבטחת מידע ממוחשב. על כל פנים, התקן החדש לא צפוי להיות מוכרז לפני סוף 2003 או תחילת 2004. בנוסף, בכמה מקרים תדרוש הפעלת ה-AES שדרוג של החומרה הן לנקודות הגישה, והן לכרטיסי הלקוח.

 

התוכנית של סיסקו

 

עניין נוסף שמדברים בו בזירת האבטחה הוא תוכניתה של Cisco למכירת טכנולוגיית האבטחה הקניינית שלה ליצרני שבבים כמו אינטל ואחרים, כדי שתמומש בחומרה סטנדרטית. מדובר בטכנולוגיית LEAP והגרסה של Cisco ל-802.1x. תכונות אלו יוכלו להיות מופעלות או מופסקות על ידי יצרני המערכות הסופיות, שירכשו את ערכות השבבים מיצרני הסיליקון.

 

עם התוכנית הזו, Cisco תבחן ותאשר כל מוצר של צד שלישי האמור לכלול בתוכו את טכנולוגיות האבטחה הללו. למרות שזהו פתרון קנייני ולא תקן מוסכם וכללי, עושה רושם שהוא תופס מומנטום בין יצרני השבבים וספקים אחרים, ביניהם HP ויבמ. בסופו של דבר, הוא יתרום מעט יותר לשקט הנפשי ולביטחון של מנהלי המערכות בארגונים.

 

ובינתיים, יש לנו WPA

 

בינתיים יש את WPA (קיצור של Wi-Fi Protected Access) כפתרון זמני לבעיית הפריצות. בנובמבר 2002 החליטה ברית Wi-Fi - ארגון ללא מטרות רווח של יצרני חומרה המאשרים את תאימות מוצרי הרשתות האלחוטיות - לאמץ בשלב זה את מפרט WPA (אחד ממרכיבי תקן 802.11i העתידי) כתקן אבטחה אד-הוק. המטרה היא לספק אבטחה כמו-תקנית ברמה גבוהה יותר מהנוכחית, כל עוד אין מוצרי 802.11i בשוק.

 

לצורך אימות זהות, WPA מאמץ את תקן 802.1x, המאפשר גמישות בבחירת הפרוטוקולים לאבטחה. עבור משרדים קטנים או ארגונים שאינם מתכננים התקנה של מערכת אימות זהות הכוללת שרת RADIUS כחלק מהמערך שלהם, WPA גם יתמוך במפתחות ציבוריים. לצורכי הצפנה, המפתח הסטטי היחיד של WEP יוחלף על ידי TKIP, אשר בצירוף יכולת אימות הזהות של 802.1x/EAP מייצר ומפיץ באופן דינמי מפתחות הצפנה.

 

ניתן לפריסה

 

WPA תוכנן כך שניתן לפרוס אותו במכשירים ניידים ובציוד רשת אלחוטית קבועה על ידי עדכוני תוכנה צרובה. מה שיותר חשוב, ברית Wi-Fi כרגע בודקת ומאשרת כמה מוצרים מבוססי WPA, הצפויים להגיע לשוק בתוך כשלושה חודשים. אחרי אוגוסט 2003, כל מוצר שרוצה לקבל אשרור מ-Wi-Fi (ולהתמודד על פרס בחירת העורכים של PCמגזין) יהיה חייב לתמוך ב-WPA.

 

הדבר החשוב ביותר לקחת מהדיון על נושא אבטחת המידע ברשתות אלחוטיות הוא, שקיים צורך דחוף לשיפור. גם עבור בתים פרטיים ומשרדים קטנים, מינימום האבטחה המתבקש הוא להשאיר את WEP מופעל. וככל ש-WPA יהפוך להיות שכיח, מפעילי ציוד קיים צריכים לשקול הורדה של עדכוני Firmware האחרונים מהיצרנים. למנהלי רשתות בארגונים, שלעתים קרובות יש להם נכסים דיגיטליים יקרי ערך הזקוקים להגנה, עכשיו הזמן להתעדכן עד כמה שאפשר בטכנולוגיות המציעות אבטחה - ולתכנן את עבודתם בהתאם.

 

המלצות פי סי מגזין

 

למרות שאיכות האבטחה ואימות הזהות של המוצרים הקיימים לא ממש מרשימה, הם בכל זאת מספקים יותר ביטחון מרשת אלחוטית הפועלת ללא שום הגנה. בזמן שאתה מחכה למוצרים התומכים ב-WPA שיגיעו לשוק, או לטלאי WPA שיוצעו על ידי יצרני הציוד הקיים, עשו את הדברים הבאים, כדי לשפר את רמת האבטחה ברשת האלחוטית שלכם:

 

1. צריך להפעיל את WEP בכל נקודות הגישה או בנתב האלחוטי שלך לרשת מפני שמדובר במאפיין שקיים בכל מוצר המאושר על ידי Wi-Fi, זה המינימום וזה בחינם.

 

2. בדקו אפשרות לשדרוג התוכנה על ידי הורדת עדכון מאתר האינטרנט של יצרן הציוד. היצרנים מציעים דרייברים מעודכנים כדי לתקן וקטור תחילי (IV) חלש מדי, המקטין את הזמן שלוקח לפרוץ מפתח WEP. ערוך מחקר מקוון הממוקד במודל הספציפי שבשימושך, שכן עדכוני תוכנה צרובה יכולים להיות עניין מסובך.

 

3. שנו מייד את את הפרמטרים של SSID שהגיעו כברירת המחדל עם המוצר. הפורצים סומכים על כך שהעצלות תפתח להם גישה קלה. ודאו כי הפרמטרים החדשים אינם מסגירים את שמכם או מיקומכם.

 

4. שקלו ליצור "רשת סגורה". כמה ממוצרי נקודות הגישה לרשת אלחוטית תומכים ביכולת זו. ברשת סגורה ה-SSID לא משודר לאוויר על ידי נקודות הגישה - וכך נמנעת מהאקרים החולפים בסביבה הידיעה שיש פה בכלל רשת אלחוטית.

 

5. הפעילו את יכולת סינון כתובות MAC. בכך תאשרו רק למכשירים ומתאמים שכתובת ה-MAC שלהם ידועה לכם להתחבר לרשת. שימו לב שאי-אפשר, בדרך כלל, לתכנת את MAC ולכן כל מכשיר חדש צריך להיקלט לרשימת המאושרים ולא מספיק כי בעליו קיבלו מפתח כניסה לרשת.

 

6. שקלו לשמור את נקודות הגישה שלכם לרשת מחוץ ל-Firewall. אם לחברה כבר יש רשת וירטואלית פרטית (VPN) הפועלת על גבי האינטרנט, יכול להיות שתרצו לשים את נקודות הגישה האלחוטיות שלכם מחוץ ל-Firewall ולאפשר לתוכנת ה-VPN שעל תחנות הקצה לערוך את המסע פנימה אל הרשת המשרדית. רשתות VPN נמצאות בסביבה כבר מספיק זמן, ויש להן דרכים בטוחות לאבטחת והצפנת המידע שעובר דרך חומות האש. אפילו אם החברה שלכם התקינה רשת אלחוטית עם ציוד תומך WPA, הרי שרשתות VPN הן טכנולוגיה משלימה, שיכולה לספק רובד אבטחה נוסף כאשר העובדים מתחברים לרשת המשרדית מנקודות גישה ציבוריות שהן, מהגדרתן, פחות בטוחות יחסית.

 

להמשך הכתבה.

 

לפנייה לכתב/ת
שלחו כתבה שתף ב- שתף ב-
 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
ביטולאישור
צילום: פי סי מגזין
הנוף החדש
צילום: פי סי מגזין
צילום: פי סי מגזין
הסרת אבני הנגף
צילום: פי סי מגזין
צילום: נט מגזין
מיליון בתים
צילום: נט מגזין
מומלצים

אודות ועזרה

כלים ושירותים

ערוצי תוכן