Wraz z wydaniem MorphOS-a 3.2, pojawiła się możliwość korzystania z sieci WiFi. W tej beczce miodu jest jednak łyżka dziegciu. Otóż wbudowane w większość sprzetu (PowerMaki, PowerBooki, iBooki) moduły WiFi o firmowej nazwie AirPort, oparte na układach firmy Broadcom, nie są obsługiwane. Obsługiwane są natomiast wszelakie karty oparte na chipsecie Atheros 5000. Nie jest to już sprzęt najnowszy (obsługuje transmisję do 54 Mbit/s), niemniej bez problemu można go kupić, również fabrycznie nowy. Dostępne są zarówno karty PCMCIA (do PowerBooków), jak i PCI (do komputerów stacjonarnych). W redakcji przetestowaliśmy kilka najłatwiejszych do kupienia modeli kart: dwie karty PCMCIA i jedną PCI.
Karta WiFi TP-Link TL-WN310G.
Karta działa w PowerBooku bez problemu. Jej włożenie w slot PCMCIA wymaga siły większej niż możnaby się spodziewać, przynajmniej w porównaniu z opisaną niżej kartą Cisco. Za pierwszym razem nie docisnęliśmy karty wystarczająco mocno i nie została rozpoznana przez komputer. Kartę należy wsunąć tak, aby cała metalowa część obudowy schowała się w komputerze (wystaje nie więcej niż 0,5 mm tej części, oczywiście wystaje też cała plastikowa osłona anteny). Aktualna wersja sterownika ma problemy z obsługą diod LED w kartach. W TP-Linku diody po prostu w ogóle nie świecą i nie należy na nie zwracać większej uwagi.
Karta WiFi Cisco Aironet CB21AG-E-K9.
W użyciu karta w zasadzie niewiele się różni od powyższego TP-Linka. Oczywiście można zadawać lansu logiem firmy Cisco ;-), poza tym obudowa anteny jest trochę mniejsza i mniej kanciasta. Dodatkowo diody LED migają sobie obie równym rytmem (niestety również z tą kartą nie ma sygnalizacji ruchu w sieci).
Karta WiFi TP-Link TL-WN350GD.
To typowa karta PCI. Można ją bez problemu używać w stacjonarnych PowerMakach G4 oraz w Pegasosie II. Wersja bez „D” ma antenę na stałe dołączoną do karty, w wersji GD antena odkręca się i można podłączyć antenę zewnętrzną. Kartę testowaliśmy w PowerMaku G4 „Gigabit Ethernet” 500 MHz, oraz w Pegasosie II. Teoretycznie powinna zadziałać również z Efiką.
Trzeba pamiętać o tym, że karta PCMCIA zostanie rozpoznana tylko wtedy, gdy będzie włożona przed włączeniem komputera (w przypadku karty PCI to raczej oczywiste…). Jeżeli wszystko pójdzie dobrze, to karta zostanie rozpoznana automatycznie i zostanie automatycznie stworzony interfejs sieciowy wl0, co widać w ustawieniach sieci:
Dwie potrzebne nam informacje to identyfikator (tak zwany SSID) naszej sieci, oraz hasło szyfrowania WPA2. Ponieważ najczęściej sami konfigurujemy router, znamy te parametry. Sterownik automatycznie wyszuka sieci w zasięgu i przedstawi ich listę, posortowaną według siły sygnału, zatem nasz domowy router powinien być pierwszy. Po dwukliku w jego nazwę pojawi się okienko, do którego wpisujemy hasło WPA2. I to w zasadzie wszystko, chyba że w naszej sieci nie używamy DHCP, tylko statycznych adresów IP. Wtedy trzeba jeszcze wpisać adres IP naszego komputera, maskę podsieci i bramę domyślną – tak jak przy kartach przewodowych. Na powyższej ilustracji widzimy właśnie przypadek adresu statycznego.
W różnych krajach dozwolone jest użycie różnej ilości kanałów WiFi. Każda sieć WiFi pracuje na określonym kanale, najczęściej wybranym automatycznie tak, aby się nie zakłócać z sieciami sąsiednimi. Wszystkich kanałów jest 14, z czego w Polsce dozwolone są kanały 1 do 13, ale np. w USA można używać kanałów do 11 włącznie. Póki co, nasz sterownik nie pozwala na wybór kraju i automatycznie ogranicza kartę do kanałów 1 – 11. Możemy więc mieć pecha, gdy nasz router pracuje na kanale 12 albo 13, MorphOS nie będzie widział sieci. Wtedy trzeba się zalogować na router i zobaczyć na jakim kanale pracuje. W razie konieczności ustalamy kanał na routerze „na sztywno”. Najlepiej wtedy przeszukać sieć np. smartfonem z WiFi, albo programem pokazującym kanały widzianych sieci i wybrać kanał oddalony co najmniej o 3 od najsilniejszych sieci sąsiadów.
Jeżeli na zmianę używamy WiFi i Ethernetu, trzeba pamiętać o tym, że stos TCP/IP może mieć tylko jeden aktywny interfejs. O ile włożenie karty PCMCIA automatycznie włącza wl0 i wyłącza eth0, o tyle jej wyjęcie tylko usuwa wl0, ale eth0 trzeba uaktywnić ręcznie. Jeżeli mamy kartę PCI to jej wyjmowanie oczywiście nie wchodzi w grę. Wtedy chcąc skorzystać z Ethernetu musimy ręcznie wyłączyć interfejs wl0 i włączyć eth0.
W temacie bezpieczeństwa sieci WiFi od lat pokutują różnego rodzaju mity, podtrzymywane przez samozwańczych „ekspertów”. Pierwszym takim mitem jest stwierdzenie, że ukrywanie SSID zwiększa bezpieczeństwo. Po ukryciu SSID, sieć przestaje być widoczna przy wyszukiwaniu, a połączenie jest możliwe tylko gdy SSID jest nam znany z góry. Niestety to nie jest do końca prawda. Istnieje szereg narzędzi przeznaczonych specjalnie do wyłapywania ukrytych SSID-ów (np. inSSIDer, Kismet), bardziej zaawansowane narzędzia do włamań w rodzaju Aircracka oczywiście również to potrafią. O ile tylko router ukrytej sieci jest aktywny, określenie SSID-a to kilkadziesiąt sekund nasłuchiwania.
Drugim mitem jest zwiększanie bezpieczeństwa sieci przez filtrowanie adresów MAC. To żadna trudność dla włamywacza, chyba że jest kompletnym amatorem. Zeskanowanie adresów MAC aktywnych w danej sieci urządzeń i podszycie się pod jedno z nich, w danej chwili nieaktywne, to również jakaś minuta roboty. Z reguły filtrowanie MAC dostarcza jedynie roboty administratorowi sieci, gdy dochodzi do niej nowe urządzenie (np. nowy komputer…).
Podstawą bezpieczeństwa domowej sieci WiFi jest użycie szyfrowania WPA2. Najczęściej stosowanym trybem będzie tu WPA2 Personal (zwane też WPA2-PSK, ang. PreShared Key). Wersja WPA2 zwana Enterprise używa dodatkowego serwera logowania się do sieci, pracującego w standardzie Radius. W przypadku prostych sieci domowych nie jest to potrzebne. Samo zabezpieczenie sieci szyfrowaniem WPA2 zniechęci 80% atakujących. Ale nie wszystkich. Zabezpieczeniem logowania do sieci jest wszak hasło. A to najczęściej wybierane jest beztrosko. Jeżeli hasło będzie krótkie, sukcesem może się zakończyć atak brute force, czyli siłowe próbowanie wszystkich możliwości. Hasło typowe z kolei (np. „admin1”) pozwala na atak metodą słownikową. Oczywiście najskuteczniejsza jest długa losowa kombinacja dużych i małych liter, cyfr i znaków specjalnych, ma jednak tę wadę, że trudno ją zapamiętać. Dość dobrymi hasłami są wielowyrazowe zdania. Nawet jeżeli wszystkie wyrazy są w słowniku, to zdanie tworzy niezliczoną ilość kombinacji. Przykładowo załóżmy, że atakujący używa słownika liczącego 100 000 słów. Załóżmy też, że tak się szczęśliwie dla włamywacza złożyło, że wszystkie 7 słów z naszego zdania-hasła jest w jego słowniku. Nie zmienia to faktu, że do wypróbowania ma 1035 kombinacji. Jeżeli będzie w stanie sprawdzać milion haseł na sekundę (kilka pracujących jednocześnie komputerów z szybkimi kartami graficznymi jest w stanie tyle mniej więcej robić), to zajmie mu to 3,17·1021 lat, kilkanaście rzędów wielkości więcej niż szacowany wiek Wszechświata… Po co więc męczyć pamięć hasłami w rodzaju „h7YUm2!r_b9#GqAlM8$3”, skoro „kto gdzie pyta, jak piec grzeje mi nogi” jest równie skuteczne, a o ileż prostsze do zapamiętania!
Jeżeli chodzi o samo WPA2 nie znaleziono na razie w tym algorytmie żadnej luki nie obwarowanej szczególnymi warunkami, więc atak kryptograficzny inną metodą niż siłowa lub słownikowa nie jest znany. Niestety wiele popularnych routerów ma inny problem, jest nim mianowicie funkcja WPS (Wireless Protected Setup), czyli konfiguracja sieci za pomocą 8-cyfrowego numeru PIN. W założeniu działa to tak, że router generuje taki PIN, a my wpisujemy go w komputerze, ewentualnie używamy specjalnego przycisku w routerze. Niestety okazało się, że PIN jest tak skonstruowany, że wystarczy 11 000 prób, aby włamywacz mógł zdalnie wejść do sieci używając WPS, a nie znając PIN-a (ani hasła do WPA2!). WPS należy więc koniecznie wyłączyć w routerze o ile ma tę funkcję. Jeżeli wyłączenie nie jest możliwe, pozostaje zmiana firmware routera, albo zmiana routera na inny.
Kolejnym, często łatwym do przeoczenia sposobem ataku jest wejście na stronę administracyjną routera. Co prawda nie da się tego zrobić zdalnie poprzez zaszyfrowane WiFi, ale jeżeli w sieci mamy komputer z Windowsem (a nawet innym systemem z nowoczesną przeglądarką z JavaScriptem), możemy „załapać” trojana, który przeszukuje sieć lokalną w poszukiwaniu routera WiFi, po czym próbuje się zalogować, używając typowych haseł fabrycznych. Wiele routerów pokazuje na stronie administracyjnej ustawione hasło WPA2 jawnym tekstem, więc włamywacz może już spokojnie zalogować się zdalnie do naszej sieci… Może też przejąć kontrolę nad routerem. Tu skutecznym sposobem zapobiegania jest zmiana hasła do strony administracyjnej routera (najlepiej, żeby to było inne hasło, niż hasło WPA2…). Nie zaszkodzi też co jakiś czas (powiedzmy pół roku) oba te hasła zmieniać.
Zamieszczone przez: admin, 0 komentarzy