d i p l o m s k a n a l o g a - dk.fis.unm.sidk.fis.unm.si/dip/vs_2015_david_kralj.pdf · tretja...
TRANSCRIPT
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
D I P L O M S K A N A L O G A
VISOKOŠOLSKEGA STROKOVNEGA ŠTUDIJSKEGA PROGRAMA
PRVE STOPNJE
DAVID KRALJ
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
DIPLOMSKA NALOGA
ANALIZA VARNOSTI BREZŽIČNIH OMREŽIJ
Mentor: doc. dr. Borut Lužar
Novo mesto, september 2015 David Kralj
IZJAVA O AVTORSTVU
Podpisani David Kralj, študent FIŠ Novo mesto, izjavljam:
da sem diplomsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v
diplomski nalogi,
da dovoljujem objavo diplomske naloge v polnem tekstu, v prostem dostopu, na
spletni strani FIŠ oz. v elektronski knjižnici FIŠ,
da je diplomska naloga, ki sem jo oddal v elektronski obliki, identična tiskani verziji,
da je diplomska naloga lektorirana.
V Novem mestu, dne _________________ Podpis avtorja ______________________
ZAHVALA
Zahvaljujem se mentorju za strokovno pomoč in vodenje pri diplomskem delu.
Posebna zahvala gre družini, ki me je v času celotnega študija podpirala in mi stala ob strani.
POVZETEK
Brezžična omrežja so skozi leta z vse večjim razvojem mobilnih naprav postopoma izpodrinila
žična omrežja in jih v veliki meri tudi nadomestila. Ker delujejo s pomočjo radijskih valov, je
njihova uporaba zelo enostavna. Zaradi vse širše uporabe brezžičnih omrežij se pojavi vprašanje
o varnosti njihove uporabe. Uporabniki se moramo zavedati, da je varnost eden izmed
pomembnih faktorjev pri uporabi interneta. Zaradi nizke ravni varnosti lahko pride do različnih
zlorab in kraj identitete. Zlorabe se dogajajo predvsem pri tistih brezžičnih omrežjih, ki niso
primerno zaščitena. Za dobro zaščito pred napadalci je potrebno dobro poznavanje varnostnih
vidikov in protokolov. Te varnostne vidike, protokole in grožnje sem preučil s pomočjo
literature in jih opisal v diplomski nalogi. Poleg pregleda literature sem izvedel tudi podrobno
analizo vrst zaščit brezžičnih omrežij v širši okolici Novega mesta. Obenem sem izvedel tudi
primerjavo pridobljenih podatkov z analizo, ki sem jo izvedel leta 2011 in podatki za Ljubljano
2013. S tem sem pridobil podatke, ki so prikazali, kakšna je osveščenost uporabnikov v Novem
mestu o varnosti brezžičnih omrežij ter kateri protokoli so najpogostejši.
KLJUČNE BESEDE: WiFi, brezžična omrežja, varnostni protokoli, varnostne grožnje,
avtentikacija, analiza uporabe varnostnih protokolov
ABSTRACT
During the years wire networks have been replaced by wireless networks due to rapid
development of mobile devices. Their use is very simple because they operate through radio
waves. Since wireless networks are widely spread, there is a question concerning security of
their use. Users must be aware of the fact that security is a key element in using Internet. Low
security level can cause various abuses and identity theft. Abuses appear with those wireless
networks that are not properly secured. In order to be well protected against attacks it is
necessary to know security aspects and protocols. All security aspects, protocols and threats
have been studied by using literature and described in the thesis. Furthermore, the research has
been made in the wider area of Novo mesto taking into account a detailed analysis of wireless
network protections. I have made a comparison between the results of the 2011 analysis and
data from Ljubljana, 2013. The results show awareness of users in Novo mesto about wireless
networks and the most frequently used protocols.
KEY WORDS: WiFi, wireless networks, security protocols, security threats, authentication,
analysis of security protocol use
KAZALO
1. UVOD ................................................................................................................................. 1
1.1 Raziskovalne hipoteze ................................................................................................ 1
1.2 Cilji diplomske naloge ................................................................................................ 2
2. BREZŽIČNA OMREŽJA .................................................................................................. 2
2.1 Kratka zgodovina ........................................................................................................ 3
2.2 Prednosti brezžičnega omrežja ................................................................................... 5
2.3 Slabosti brezžičnega omrežja ..................................................................................... 6
3. TOPOLOGIJA BREZŽIČNIH OMREŽIJ ......................................................................... 6
3.1 Primeri brezžičnih omrežij ....................................................................................... 10
4. VARNOST BREZŽIČNIH OMREŽIJ ............................................................................. 13
4.1 Brezžični varnostni protokoli ................................................................................... 13
4.1.1 Šibka avtentikacija – OPEN, WEP ................................................................... 13
4.1.2 MAC avtentikacija ............................................................................................ 15
4.1.3 802.1X/EAP avtentikacija ................................................................................. 15
4.1.4 Vrste EAP ......................................................................................................... 17
4.1.5 WPA/WPA2 avtentikacija ................................................................................. 19
4.1.6 WPS .................................................................................................................. 20
4.2 Varnostne grožnje in tveganja uporabe brezžičnih omrežij ..................................... 21
4.2.1 Vrste napadov in nevarnosti ............................................................................. 21
4.2.2 Orodja za izvedbo napadov .............................................................................. 23
4.3 Varnostni ukrepi za zavarovanje brezžičnih omrežij ............................................... 24
4.3.1 Zavarovanje brezžičnih prenosov ..................................................................... 25
4.3.2 Zavarovanje brezžičnih dostopnih točk ............................................................ 25
4.3.3 Zavarovanje brezžičnih omrežij ....................................................................... 26
4.4 Varnost v javno dostopnih brezžičnih omrežjih ....................................................... 26
5. ANALIZA BREZŽIČNIH OMREŽIJ .............................................................................. 28
5.1 Analiza za Novo mesto 2015 .................................................................................... 30
5.2 Analiza za Novo mesto 2011 .................................................................................... 47
5.3 Analiza za Ljubljano 2013 ........................................................................................ 54
5.4 Povzetek in primerjava analize ................................................................................. 59
6. ZAKLJUČEK ................................................................................................................... 64
7. LITERATURA IN VIRI ................................................................................................... 66
KAZALO GRAFOV
Graf 5.1: Razdelitev brezžičnih omrežij glede na pet glavnih kategorij zaščite ...................... 35
Graf 5.2: Razdelitev brezžičnih omrežij glede na podkategorije zaščite ................................. 37
Graf 5.3: Razdelitev za WPA protokol ..................................................................................... 37
Graf 5.4: Navidezni prikaz vrste zaščit brezžičnih omrežij ...................................................... 38
Graf 5.5: Razdelitev brezžičnih omrežij glede na najšibkejšo ranljivost zaščite ..................... 40
Graf 5.6: Podrobni pregled vrste zaščit brezžičnih omrežij ..................................................... 42
Graf 5.7: Primerjava vrst zaščit brezžičnih omrežij z wigle podatki 2015............................... 44
Graf 5.8: Tovarniška imena brezžičnih omrežij ....................................................................... 45
Graf 5.9: Tovarniška imena odprtih brezžičnih omrežij .......................................................... 46
Graf 5.10: Primerjava tovarniških imen brezžičnih omrežij z wigle podatki 2015 .................. 47
Graf 5.11: Razdelitev brezžičnih omrežij glede na pet glavnih kategorij zaščite .................... 49
Graf 5.12: Razdelitev brezžičnih omrežij glede na najšibkejšo ranljivost zaščite ................... 50
Graf 5.13: Podrobni pregled vrste zaščit brezžičnih omrežij ................................................... 51
Graf 5.14: Primerjava vrst zaščit brezžičnih omrežij z wigle podatki 2011............................. 52
Graf 5.15: Delež ne/zaščitenih brezžičnih omrežij ................................................................... 53
Graf 5.16: Tovarniška imena brezžičnih omrežij ..................................................................... 53
Graf 5.17: Razdelitev brezžičnih omrežij glede na pet glavnih kategorij zaščite .................... 55
Graf 5.18: Razdelitev brezžičnih omrežij glede na najšibkejšo ranljivost zaščite ................... 56
Graf 5.19: Podrobni pregled vrste zaščit brezžičnih omrežij ................................................... 57
Graf 5.20: Primerjava vrst zaščit brezžičnih omrežij z wigle podatki 2013............................. 58
Graf 5.21: Tovarniška imena brezžičnih omrežij ..................................................................... 59
Graf 5.22: Primerjava vrst zaščit brezžičnih omrežij za Novo mesto med letoma 2011
in 2015 .................................................................................................................... 60
Graf 5.23: Primerjava vrst zaščit brezžičnih omrežij od šibkih proti močnim za Novo mesto
med letoma 2011 in 2015 ....................................................................................... 60
Graf 5.24: Primerjava vrst zaščit brezžičnih omrežij med Ljubljano (2013) in
Novim mestom (2015) ............................................................................................ 62
Graf 5.25: Primerjava vrst zaščit brezžičnih omrežij od šibke proti močni med
Ljubljano (2013) in Novim mestom (2015) ........................................................... 62
Graf 5.26: Primerjava vrst zaščit brezžičnih omrežij med Novim mestom in svetom ............. 63
KAZALO SLIK
Slika 3.1: Ad Hoc topologija ...................................................................................................... 7
Slika 3.2: Osnovna postavitev omrežja ...................................................................................... 8
Slika 3.3: Razširjena postavitev omrežja .................................................................................... 8
Slika 3.4: Osnovne topologije žičnih omrežij ............................................................................ 9
Slika 3.5: Primer tipičnega omrežja v pisarni (uporabljena je kombinacija topologije
zvezde, drevesa in linije) ......................................................................................... 10
Slika 3.6: Postavitev domačega brezžičnega omrežja .............................................................. 11
Slika 3.7: Delovanje EDUROAM omrežja .............................................................................. 12
Slika 4.1: Potek avtentikacije OPEN in WEP .......................................................................... 14
Slika 4.2: Free WiFi ................................................................................................................. 27
Slika 5.1: Pot zaznavanja brezžičnih dostopnih točk ............................................................... 32
Slika 5.2: Pot zaznavanja brezžičnih dostopnih točk ............................................................... 48
Slika 5.3: Pot zaznavanja brezžičnih dostopnih točk ............................................................... 54
1
1. UVOD
Brezžična omrežja so skozi leta postopoma izpodrinila žična omrežja in jih v veliki meri tudi
nadomestila. Uporaba brezžičnih omrežij je veliko bolj enostavna, saj delujejo brez uporabe
vodnikov. Za komunikacijo uporabljajo radijske valove, ki uporabnikom omogočajo možnost
prostega premikanja po območju, pokritem z brezžičnim signalom, in uporabo le-tega.
Brezžičnih omrežij se množično poslužujejo lastniki trgovskih centrov in gostinskih lokalov,
kjer svojim gostom ponujajo brezplačen dostop do interneta. Tudi veliko število mest izvaja
projekte brezžičnih omrežij, s katerimi želijo svojim prebivalcem ponuditi enostaven in
brezplačen dostop do svetovnega spleta. Krivec za tako veliko popularnost brezžičnih omrežij
je vse večji razvoj mobilnih naprav.
Pri tako množični uporabi brezžičnih omrežij se srečujemo z vprašanjem varnosti njihove
uporabe. Varnost je ključna tematika, saj lahko zaradi nizke ravni le-te pride do različnih zlorab.
Zlorabe brezžičnih omrežij se dogajajo predvsem pri tistih, ki niso primerno zaščitena.
Najpogostejša žrtev so javna brezžična omrežja, ki omogočajo dostop prav vsakemu
posamezniku in imajo tudi zelo nizko raven varnosti. Ko je posameznik enkrat povezan v
omrežje, ima možnost dostopa do podatkov uporabnikov, ki imajo omogočeno skupno rabo na
računalniku. Uporabnik pa ima dostop tudi do vseh podatkov, ki se pretakajo po omrežju, s tem
pa tudi možnost kraje le-teh. Do zlorab pa prihaja tudi v tistih privatnih omrežjih, ki imajo zelo
nizko raven zaščite.
1.1 Raziskovalne hipoteze
Prva zastavljena hipoteza se navezuje na osveščenost uporabnikov v Novem mestu v primerjavi
z letoma 2011 in 2015. V tej hipotezi trdim, da je osveščenost uporabnikov v Novem mestu o
varnosti brezžičnih omrežij večja kot leta 2011. Hipotezo bom preveril tako, da bom izvedel
enako analizo kot leta 2011 in primerjal rezultate.
Druga hipoteza se glasi, da je število brezžičnih omrežij v Novem mestu večje kot leta 2011.
Hipoteza bo prav tako preverjena s pomočjo ponovne izvedbe analize.
2
Tretja hipoteza pravi, da je osveščenost uporabnikov v Novem mestu enaka kot v Ljubljani
2013. Pridobljene podatke za leto 2015 bom primerjal s pridobljenimi podatki leta 2013 in s
pomočjo rezultatov hipotezo sprejel ali zavrnil.
S četrto hipotezo želim ugotoviti, ali je zaščita brezžičnih omrežij v Novem mestu boljša kot v
svetu. Hipotezo bom preveril s tem, ko bom primerjal analizirane podatke za Novo mesto s
podatki, ki so objavljeni na wigle.net spletni strani.
1.2 Cilji diplomske naloge
V diplomski nalogi želim pri teoretičnem delu raziskati in pregledati osnovno delovanje
brezžičnih omrežij ter našteti njihove prednosti in slabosti. Poleg tega želim pregledati
delovanje varnostnih mehanizmov in protokolov. Ugotoviti želim tudi tveganja pri uporabi
brezžičnih omrežij. V raziskovalnem delu želim izvesti bolj podrobno analizo zaščite brezžičnih
omrežij v Novem mestu za leto 2015, in to analizo primerjati z analizo iz leta 2011. Načrtujem
tudi izvedbo primerjave med brezžičnimi omrežji v Novem mestu in Ljubljani, pa tudi v
svetovnem merilu (analize varnosti v brezžičnih omrežjih opravljajo na spletni strani wigle.net).
Ta analiza bo omogočila natančnejši vpogled v osveščenost uporabnikov o varnosti brezžičnih
omrežij in pomagala pri sprejetju ali zavrnitvi zastavljenih hipotez.
2. BREZŽIČNA OMREŽJA
V zadnjih nekaj letih je svet postal vse bolj odvisen od mobilnih naprav zaradi njihovega porasta
in intenzivnega razvoja. Kot rezultat se je tradicionalni način povezovanja na internet izkazal
za neprimernega. Ko se uporabnik poveže s pomočjo fizičnih vodnikov, postane njegovo
gibanje omejeno. Z brezžičnim povezovanjem se tem težavam izognemo, saj to omogoča
uporabniku večjo možnost gibanja, le-ta se lahko giblje v območju pokritega signala (Gast,
2005).
Brezžična omrežja uporabljajo radijske valove, tako kot mobilni telefoni, televizije, radijski
sprejemniki itd. Komunikacija preko brezžičnega omrežja je v bistvu zelo podobna dvosmerni
3
radijski komunikaciji. Pri komuniciranju se zgodi naslednje: npr. računalnik z brezžičnim
vmesnikom prevede podatke v radijski signal, ki ga prenaša s pomočjo antene. Brezžični
usmerjevalnik (ang. router) prejme signal in ga dekodira, nato podatke pošlje naprej v internet
s pomočjo žičnega interneta. Proces deluje tudi v obratni smeri, kjer usmerjevalnik prejema
podatke z interneta in jih prevaja v radijski signal, ki ga nato pošlje na brezžični vmesnik
računalnika. Razlika med radijskimi signali mobilnih telefonov, televizij in radijskih
sprejemnikov je ta, da brezžična omrežja delujejo na frekvencah 2,4 GHz, 3,7 GHz, 5 GHz in
60 GHz. Višja frekvenca omogoča signalom večji podatkovni pretok (Brain in drugi, 2001).
Omenjeni radijski signali in frekvence potrebujejo za dobro delovanje določen standard.
Najbolj pogosto uporabljeni standard pri brezžičnih omrežjih je standard 802.11, ki ga določa
organizacija Inštitut inženirjev elektrotehnike in elektronike oziroma s kratico IEEE. Standard
802.11 opredeljuje vse vidike radiofrekvenčnega brezžičnega omrežja (Vicomsoft, 29. avgust
2015). IEEE je odgovorna organizacija za določanje industrijskih standardov in ureja
podatkovne komunikacije, vključno z brezžičnimi LAN standardi (Caroll, 2012). To združenje
je usmerjeno k spodbujanju inovativnosti ter tehnološke odličnosti in je na svetu največje
tehnično strokovno društvo. Njegove korenine segajo že v daljno leto 1884, ko je elektrika
začela pridobivati velik družbeni vpliv. Z razvojem tehnologije pa je kasneje postalo odgovorno
za razvoj standardov brezžičnih omrežij (IEEE, 1. september 2015).
2.1 Kratka zgodovina
Zgodovina uporabe brezžičnih omrežij sega v leto 1971, ko so raziskovalci na havajski univerzi
povezali sedem računalnikov na štirih otokih in tako ustvarili prvo pravo brezžično omrežje,
imenovano ALOHANET. Osrednja dostopna točka je bila na otoku Oahu in je povezovala
ostale računalnike v omrežje. Ker so bile v tistem času med otoki telefonske zveze zelo slabe,
so se raziskovalci s pomočjo ALOHANET omrežja želeli izogniti povezovanju s telefonskimi
žicami (Šepetavc, 2005).
Prvotni cilj ALOHANET projekta je bil raziskati uporabo radijskih komunikacij, ki bi
predstavljale alternativo telefonskemu sistemu računalniških komunikacij in s tem določiti tiste
primere, kjer so radijske komunikacije boljše od običajnih žičnih komunikacij. Po vzpostavitvi
ALOHANET omrežja je raziskovalcem postalo jasno, da ključna novost ALOHANET omrežja
ni uporaba radijske komunikacije za računalnike, ampak arhitektura za oddajanje komunikacije
za radijsko postajo (Abramson, 1985).
4
Poleg ALOHANET projekta so se brezžična omrežja razvila tudi v vojaških krogih, kjer pa
tehnologije niso razkrili in je ostala večinoma tajna še do danes.
Brezžična omrežja so se v naslednjih nekaj letih postopoma razvijala in bila vse bolj priljubljena
predvsem na univerzah, manj pogosto pa so se pojavljala v poslovnih krogih. Vzroki za manjšo
uporabo v poslovnih krogih so bili povezani s financami, saj je bila cena njihove vzpostavitve
zelo visoka v primerjavi z žičnimi omrežji, obenem pa tudi njihova hitrost ni bila primerljiva s
hitrostjo žičnih omrežij. Omrežja v tistem času niso bila združljiva, saj so bila prilagojena
vsakemu kupcu posebej. Do združljivosti je prišlo šele v letu 1997, ko so predstavili prvi
standard, imenovan 802.11. Ta standard je omogočal uporabnikom povezovanje v brezžično
omrežje s hitrostjo dva megabita na sekundo, v primeru slabe povezave ali ko je bil uporabnik
preveč oddaljen od dostopne točke, pa se je hitrost lahko zmanjšala na en megabit. Naprave s
standardom 802.11 so uporabljale frekvenco 2,4 GHz. Hitrosti povezav brezžičnih omrežij so
bile takrat daleč od zmogljivosti, ki so jih dosegala žična omrežja, saj so le-ta omogočala prenos
podatkov s stotimi megabiti na sekundo. Še večja omejitev, s katero so se soočali uporabniki,
je bila, da standard 802.11 ni bil nikoli povsem sprejet s strani proizvajalcev. To se je odražalo
v nezdružljivosti med posameznimi proizvajalci. Odgovorna organizacija za standard 802.11
IEEE se je problema zavedala in kmalu razvila nadgradnjo, imenovano 802.11b (Šepetavc,
2005).
Standard 802.11b je bil predstavljen septembra leta 1999. Postal je zelo priljubljen, predvsem
zaradi nizkih stroškov namestitve in podpore hitrosti povezave do enajst megabitov na sekundo
pri frekvenci 2,4 GHz (Home Network Help, 29. avgust 2015). S tem standardom so se
izdelovalci združili in medsebojno preizkušali združljivost izdelkov, katere so kasneje označili
z logotipom »WiFi Certified« (Šepetavc, 2005), ki ga uporabljajo še danes na embalaži skoraj
vseh izdelkov za brezžična omrežja.
V istem času se je razvil standard 802.11a, ki je bil namenjen bolj zahtevnim uporabnikom.
Standard 802.11a dosega hitrosti do 55 megabitov na sekundo v frekvenčnem pasu 5 GHz.
Razlogi za njegovo nepriljubljenost med uporabniki so višji stroški postavitev, zaradi višjega
frekvenčnega pasu pa tudi slabši doseg ter popolna nezdružljivost s standardom 802.11b.
Delovanje v višjem frekvenčnem pasu pa ne predstavlja samo slabosti, ampak tudi dobro stran
tega standarda, saj je delovanje na tem frekvenčnem pasu manj zamašeno s konkurenčnimi
signali (Home Network Help, 29. avgust 2015). Frekvenčni pas 5 GHz je predstavljal težavo v
5
večini evropskih držav, saj so ga le-te uporabljale za potrebe vojske in so zato z velikim
zamikom podelile dovoljenje za uporabo. To je tudi eden izmed razlogov, zakaj se ta standard
dolgo ni prijel v Evropi (Šepetavc, 2005).
Zaradi potreb po višjih hitrostih in nezdružljivosti standardov 802.11b in 802.11a so kmalu
predstavili novi standard 802.11g. Ta standard so predstavili junija leta 2003 z namenom
zagotavljanja višjih hitrosti prenosa podatkov in ohranjanja združljivosti z 802.11b izdelki. Pri
tem standardu potekajo hitrosti prenosa podatkov do 55 megabitov na sekundo pri frekvenci
2,4 GHz. Prinaša pa tudi pomembne varnostne funkcije, kot so WiFi Protected Access (WPA),
avtentikacijo WPA2 s ključem PSK in RADIUS strežnikom (več o RADIUS strežnikih si lahko
preberete na strani 16).
Oktobra 2009 je organizacija IEEE odobrila novi standard 802.11n, ki zagotavlja hitrosti
prenosa podatkov do 300 megabitov na sekundo, kar je okoli šestkrat hitreje kot standard
802.11g. Poleg tega pa standard 802.11n omogoča delovanje v frekvenčnem pasu 2,4 GHz ali
5 GHz in je združljiv z vsemi starimi standardi.
Trenutno najnovejši brezžični standard je 802.11ac, ki ga je IEEE potrdila januarja 2014.
Zagotovi lahko prenos podatkov do enega gigabita na sekundo, deluje v frekvenčnem pasu 5
GHz in je združljiv z 802.11n brezžičnimi napravami. Ker je še vedno veliko 802.11g in
802.11b brezžičnih naprav, ki uporabljajo frekvenčni pas 2,4 GHz, ni presenečenje, da lahko
standard 802.11ac deluje tudi pri 2,4 GHz (Home Network Help, 29. avgust 2015).
2.2 Prednosti brezžičnega omrežja
Uporaba brezžičnega omrežja ima številne prednosti, saj odpravlja nekatere težave in omejitve
žičnega omrežja. Naprave, ki se povezujejo v omrežje, ne potrebujejo biti fizično (žično)
povezane. Brezžično omrežje uporabnikom omogoča dostop iz katerekoli lokacije v območju
pokritosti z brezžičnim signalom. Dostop je mogoč tudi na mestih izven delovnega okolja, kot
je na primer sejna soba na konferenci ali sestanek v bližnjem lokalu. Postavitev je zelo
enostavna, hitra in stroškovno učinkovita. Za delovanje na vseh lokacijah ne potrebuje nobenih
žic. Prav tako je to omrežje tudi z lahkoto razširljivo, saj za dodajanje novih uporabnikov ne
zahteva nobene dodatne strojne opreme. Brezžični dostop do interneta pa omogoča zaposlenim
v podjetju boljšo produktivnost zaradi lažjega priklopa digitalnih naprav. Strošek nakupa
6
brezžične opreme je lahko sicer malenkost višji od stroška opreme za žično omrežje, a je lahko
za končno delovanje ta strošek v primerjavi z žičnim omrežjem tudi manjši (Cisco, 28. julij
2015).
2.3 Slabosti brezžičnega omrežja
Z uporabo brezžičnih omrežij odkrijemo tudi njihove slabosti. Največjo slabost predstavlja
varnost. Podatki brezžičnega omrežja v primerjavi z žičnim omrežjem potujejo po zraku. Zaradi
tega potrebuje oseba, ki je zainteresirana za krajo vaših informacij, le Wi-Fi sprejemnik,
programsko opremo in delovni prostor, kjer lahko sprejema vaše signale. Ena od slabosti, ki je
povezana z brezžično povezavo, je omejeno število kanalov, zato v primeru prezasedenosti
kanalov prihaja do upočasnjene povezave ali pa tudi do njenega nedelovanja. Posledično lahko
prihaja tudi do mešanja radijskih signalov, katere lahko zmotijo mobilni telefoni, mikrovalovne
pečice, stene in veliki kosi kovine ter s tem povzročijo nezanesljivo delovanje omrežja. Poleg
varnosti in nezanesljivega delovanja pa se srečujemo tudi s problemom hitrosti. V idealnih
pogojih sicer standard 802.11ac podpira enakovredne hitrosti kot žično omrežje, vendar se
lahko ti pogoji ob različnih motnjah spremenijo. Do motenj hitrosti brezžičnega omrežja lahko
prihaja v primeru prezasedenosti omrežja ali kadar je moč signala šibkejša od optimalnega. V
podjetjih se z odpiranjem brezžičnega omrežja zmanjšuje nadzor, saj se zaposleni lažje
povežejo s svojimi osebnimi mobilnimi napravami, ki jih lahko pri delu ovirajo in zmanjšujejo
njihovo delovno učinkovitost. Oviro lahko predstavlja tudi omejen doseg delovanja brezžičnega
omrežja. Problem omejenega signala lahko deloma rešimo z uporabo ojačevalnikov Wi-Fi
signala (Lander, 25. avgust 2015).
3. TOPOLOGIJA BREZŽIČNIH OMREŽIJ
Temeljna sestavna dela brezžičnih omrežij sta dostopna točka (ang. Access point) in brezžični
odjemalec oziroma postaja (ang. WLAN client) – to so lahko računalniki ali ostale mobilne
naprave, ki so opremljene z brezžično omrežno kartico. Primarna naloga dostopne točke kot
krmilne enote je skrb za dodeljevanje zmogljivosti posameznim postajam, poleg tega pa je
namenjena tudi nadzorovanju dostopa do brezžičnega omrežja.
7
Ločimo tri osnovne topologije brezžičnih omrežij glede na uporabljene osnovne dele. Prva in
najenostavnejša topologija je priložnostna topologija oziroma Ad Hoc. Postaje tega omrežja
med seboj komunicirajo brez potrebe po dostopni točki (Albreht in drugi, 2003). Omenjena
vrsta topologije je lahko sestavljena iz dveh ali več osebnih računalnikov z brezžično omrežno
kartico. Včasih se to omrežje imenuje neodvisna osnovna storitev oziroma IBSS (independent
basic service set), kar pomeni, da ne vsebuje dostopnih točk, ki bi se lahko povezovale s kako
drugo osnovno storitvijo v nizu (Cisco Systems, 2003).
Slika 3.1: Ad Hoc topologija
Vir: Cisco Systems (2003, str. 12)
Druga topologija je osnovna postavitev omrežja (ang. basic infrastructure topology). Ta
topologija vsebuje eno dostopno točko in poljubno število postaj (Albreht in drugi, 2003). Vse
postaje, ki med seboj niso neposredno povezane, med seboj komunicirajo preko dostopne točke
(Cisco Systems, 2003).
8
Slika 3.2: Osnovna postavitev omrežja
Vir: Cisco Systems (2003, str. 12)
Zadnja izmed treh osnovnih topologij je razširjena postavitev omrežja (ang. extended
infrastructure topology), pri kateri imamo dve ali več dostopnih točk, ki so medsebojno žično
povezane v skupno omrežje. Razširjena postavitev omrežja omogoča vzpostavitev brezžičnega
omrežja poljubne velikosti in zahtevnosti (Cisco Systems, 2003).
Slika 3.3: Razširjena postavitev omrežja
Vir: Cisco Systems (2003, str. 13)
Poleg že opisanih topologij poznamo še nekaj posebnih, ki izhajajo iz žičnih omrežij in se
uporabljajo tudi pri brezžičnih omrežjih. Topologije, ki jih srečamo pri žičnih omrežjih, so:
9
Zvezda (ang. star) (to topologijo uporablja že zgoraj opisana osnovna postavitev
omrežja)
Drevo (ang. tree),
Linija (ang. line),
Mreža (ang. mesh),
Obroč (ang. ring) in
Vodilo (ang. bus).
Slika 3.4: Osnovne topologije žičnih omrežij
Vir: Büttrich (2006, str. 4)
Najbolj pogosto uporabljena topologija pri brezžičnih omrežjih je zvezda. Največkrat je
uporabljena za dostopne točke omrežij v pisarnah. Za dinamična urbana naselja, kampus
omrežja in sosedske skupnosti je večinoma uporabljena mrežna topologija. Ta omogoča
povezavo “vsak z vsakim”, kar pomeni, da je vsako vozlišče povezano z vsemi ostalimi
vozlišči, neodvisno od operacijskega sistema in strojne opreme (vsaka postaja ima hkrati
strežnika in odjemalca). Standardni element brezžične infrastrukture je tudi kombinacija
zvezdne in linijske topologije oziroma drevesna topologija. V praksi brezžična omrežja zelo
pogosto uporabljajo kombinacije več kot ene topologije (glej
11
Slika 3.5: Primer tipičnega omrežja v pisarni (uporabljena je kombinacija topologije zvezde,
drevesa in linije)
Vir: Büttrich (2006, str. 15)
3.1 Primeri brezžičnih omrežij
Pri postavitvi domačega brezžičnega omrežja potrebujemo modemski dostop do interneta, ki
lahko poteka preko analogne ali digitalne telefonske linije. Modem pa je lahko povezan v
internet na več načinov, ki so odvisni od našega internetnega ponudnika. Prvi, sodobni način,
preko katerega je lahko naš modem povezan v internet, se imenuje ADSL in je najpogosteje
uporabljena vrsta DSL tehnologije. Podpira hitrosti prenosa podatkov od 1,5 do 9 Mbit/s in od
16 do 640 Kbit/s pri pošiljanju podatkov. Naslednji način je VDSL, to je prav tako DSL
tehnologija, ki pa omogoča hitrejši prenos podatkov kot ADSL. Njena hitrost je odvisna od
razdalje, in sicer krajša razdalja pomeni hitrejše hitrosti povezave. Poznamo tudi kabelski način
povezave, ki deluje preko TV linij. Hitrost kabelske povezave je v razponu od 512 Kbit/s do 20
Mbit/s. Danes najbolj zaželena in uporabljena povezava pa je FTTH oziroma povezava preko
optičnih vlaken. Optične povezave omogočajo zelo visoke hitrosti, potekajo po optičnih vlaknih
pod zemljo, zato jih vremenski pojavi manj motijo kot ostale tehnologije (Beal, 2014; Papež,
2007).
Poleg modema z internetno povezavo potrebujemo pri postavitvi domačega brezžičnega
omrežja tudi brezžični usmerjevalnik, na katerem lahko opcijsko nastavimo požarni zid. Ta
omogoča večjo varnost našega omrežja (Papež, 2007).
12
Slika 3.6: Postavitev domačega brezžičnega omrežja
Vir: Papež (2007, str. 3)
Poleg domačih brezžičnih omrežij poznamo tudi velika brezžična omrežja. V izobraževalnem
okolju pa je najbolj znano omrežje, imenovano EDUROAM, ki je razširjeno tudi v svetu.
Eduroam (education roaming) je mednarodna federacija brezžičnih omrežij za uporabnike iz
izobraževalne in raziskovalne sfere. Namenjen je študentom, učencem, pedagogom,
raziskovalcem in drugim v izobraževalni sferi. Omogoča internetno povezavo znotraj
izobraževalnih institucij. Je zelo zaprto, varno in zanesljivo omrežje, dostop je mogoč samo s
pomočjo uporabniškega imena, ki je edinstveno za vsakega uporabnika, in gesla. Na voljo je v
kar 74 ozemljih (Eduroam, 2. september 2015).
Eduroam deluje s pomočjo hierarhičnega sistema RADIUS strežnikov. S pomočjo RADIUS
strežnikov se uporabnikom pri prijavi v brezžično omrežje Eduroam obiskane institucije
omogoči prijavo v omrežje z enakimi podatki kot v domači instituciji. Sproži se zahteva za
preverjanje pristnosti uporabnika in ta zahteva se pošlje na uporabnikovo domačo institucijo,
kjer se preveri prijavne podatke uporabnika. Ko domača institucija preveri uporabnika, le-ta
pošlje rezultat nazaj obiskani instituciji in uporabnik se lahko nato poveže v brezžično omrežje
obiskane institucije. Vse komunikacije temeljijo na standardu IEEE 802.1X in uporabljajo
protokol EAP (ang. Extensible Authentication Protocol), preverjanje pristnosti poteka po
13
varnem predoru z uporabo protokola EAP-TTLS ali PEAP, ki je šifriran in mu je težko
prisluškovati (Eduroam, 2. september 2015).
Slika 3.7: Delovanje EDUROAM omrežja
Vir: Papež (2007, str. 18)
V Sloveniji je primer takšnega velikega omrežja omrežje Ljubljana oziroma WiFreeLjubljana.
WiFreeLjubljana je brezžično širokopasovno omrežje, ki je bilo zgrajeno s partnerstvom družbe
Telekom Slovenija, NIL, d. o. o., in Mestne občine Ljubljana. Omrežje je bilo zgrajeno leta
2013 z začetnimi 80 dostopnimi točkami, ki pokrivajo dele širšega mestnega središča. Projekt
je stal okoli deset milijonov evrov. Namen projekta je ponuditi prebivalcem in obiskovalcem
Ljubljane brezplačno uporabo interneta, ki je sicer omejena na 60 minut dnevno brez omejitve
prenosa podatkov pri hitrosti 512 Kbit/s v smeri k uporabniku. Ko bo brezžično omrežje
WiFreeLjubljana zgrajeno v celoti, bo pokrivalo 90 odstotkov območja širšega mestnega
središča in okoli 80 odstotkov naseljenega območja (Monitor, 2013).
Podobno omrežje, kot ga ima Ljubljana, se gradi tudi v Novem mestu, vendar je zaenkrat še
slabo pokrito, omogoča pa triurno uporabo dnevno.
14
4. VARNOST BREZŽIČNIH OMREŽIJ
Vse večja priljubljenost in s tem razširjenost brezžičnih omrežij je eden od razlogov za vse
večje število poskusov oziroma vdorov vanje. Večino napadov na brezžična omrežja lahko
izvedemo po enakem principu kot v žičnih omrežjih, neodvisno od vrste šifriranja in protokola
za preverjanje istovetnosti. Ker so brezžična omrežja že v osnovi zelo ranljiva, lahko napadalci
z uporabo ustreznih orodij prisluškujejo brezžičnemu prometu brez večjih težav. S tem lahko
pridobijo razne zaupne podatke aktivnih uporabnikov v omrežju. Izbira metode napadalca je
odvisna od arhitekture samega omrežja in varnostnega standarda (Strosar, 2007).
4.1 Brezžični varnostni protokoli
Varnost brezžičnih omrežij vključuje tri glavne elemente: avtentikacijo, zaupnost in upravljanje
s ključi. Avtentikacija je proces povezave uporabnikov v brezžično omrežje. Zaupnost je
dosežena s šifriranjem, vrste šifriranja pa določajo varnostni protokoli. Upravljanje s ključi
zajema distribucijo in generiranje ključev (Gleich in Čučej, 2013).
4.1.1 Šibka avtentikacija – OPEN, WEP
Začetni standard 802.11 opisuje dve obliki preverjanja pristnosti: odprto avtentikacijo in WEP
(ang. Wired Equivalent Privacy). Protokol WEP se lahko uporablja za preverjanje pristnosti
in/ali šifriranje. Lahko se uporabi odprto avtentikacijo brez šifriranja, odprto avtentikacijo in
šifriranje WEP ali avtentikacijo WEP in WEP šifriranje, kot je prikazano na
16
Slika 4.1: Potek avtentikacije OPEN in WEP
Vir: Henry (2012, str. 82)
Pri uporabi ali neuporabi protokola WEP je prvi korak pri preverjanju pristnosti, da naprava
pošlje testno zahtevo dostopni točki, dostopna točka pa pošlje napravi nazaj testni odgovor. Ko
je odgovor uspešno prejet, se pošlje zahteva za preverjanje pristnosti.
Z odprto avtentikacijo je faza preverjanja pristnosti samo korak, s katerim se preveri, ali naprava
vsebuje veljavni standard 802.11. Če je korak uspešno izveden, dostopna točka odgovori s
pozitivnim odzivom in naprava s tem pridobi dostop.
Pri uporabi WEP avtentikacije dostopna točka odgovarja z naključnim nizom, ki se uporablja
kot izziv. Naprava šifrira niz z WEP ključem in ga vrne dostopni točki kot rezultat. Dostopna
točka prav tako šifrira enak niz in ga nato primerja s prejetim nizom. Če se niza ujemata, vrne
pozitivni odgovor za preverjanje pristnosti, sicer pa negativni.
17
Ko je faza preverjanja pristnosti uspešno zaključena, naprava pošlje zahtevo s prošnjo
registracije dostopni točki, ki nato vrne odgovor z ID oznako in naprava lahko prične s
pošiljanjem in prejemanjem podatkov v omrežju (Henry, 2012).
Protokol WEP uporablja 40 ali 104 bite dolg statični skrivni ključ, da ne bi večkrat poslani
paketi z enakimi podatki vsebovali enako šifrirano vrednost pa protokol WEP statičnemu ključu
dodaja inicializacijski vektor (IV). IV je naključna 24-bitna vrednost ključa, ki se spreminja za
vsako ponovno pošiljanje paketov. To je tudi razlog, zakaj nekateri proizvajalci govorijo o 64-
in 128-bitnem WEP šifriranju (40 + 24 = 64 in 104 + 24 = 128). Podatki se šifrirajo s pomočjo
algoritma RC4 ter s kombinacijo ključa WEP in IV. Ker se IV spremeni za vsak novi paket, se
spremeni šifra besedila, čeprav so prvotni podatki enaki. IV se doda v začetek sporočila v za
prejemnika jasnem besedilu, da ve, kateri IV uporabiti pri dešifriranju. To je tudi ena izmed
mnogih WEP pomanjkljivosti. Poleg tega protokol WEP ne overja vsakega paketa, zato je
vedno odprta možnost za napad s posrednikom (ang. man-in-the-middle) (več o napadu s
posrednikom na strani 22). Uporaba statičnega ključa dopušča napadalcem, da s pomočjo
prisluškovanja in kraje paketov na lahek način razbijejo WEP ključ. Tudi 104-bitni WEP ključ
se lahko v nekaj minutah razbije z uporabo sodobnih orodij. Vse te pomanjkljivosti so razlog,
da se protokol WEP v veliki večini že opušča in kmalu ne bo več del standarda IEEE 802.11
(Henry, 2012).
4.1.2 MAC avtentikacija
Za povečanje varnosti uporabe brezžičnih omrežij se lahko uporabi MAC avtentikacijo na
dostopni točki. Na seznam se zapiše MAC naslove naprav, katerim dovoljujemo dostop do
brezžične dostopne točke. Pri MAC avtentikaciji lahko do brezžične dostopne točke dostopajo
samo naprave, ki so na seznamu in jim je dostop odobren. To sicer ni najmočnejši varnostni
mehanizem, saj se MAC naslove lahko tudi dokaj enostavno ponaredi (Henry, 2012).
4.1.3 802.1X/EAP avtentikacija
Slabost protokola WEP je enoten ključ za vse uporabnike v omrežju. Če je ključ odkrit, postane
brezžično omrežje nezaščiteno. Za izboljšanje varnosti je ključnega pomena ločitev
avtentikacije od šifriranja. Organizacija IEEE je z uporabo dveh obstoječih varnostnih
protokolov, 802.1X in EAP, ponudila alternativo uporabi enotnih ključev.
18
802.1X
Protokol IEEE 802.1X opredeljuje nadzor dostopa, ki temelji na vratih. Opredeljuje tri vloge:
Prosilec (ang. Supplicant): naprava, ki želi dostop do omrežja,
Avtentikator (ang. Authenticator): dostopna točka, ki je povezana v omrežje (po navadi
usmerjevalnik),
Avtentikacijski strežnik (ang. Authentication server): je povezan nekje v omrežju in
hrani seznam pogojev, po katerih naj se dostop odobri ali zavrne.
Ko se naprava poveže z dostopno točko (usmerjevalnikom), ta od naprave zahteva ID
(identifikacijske podatke), ki ga nato pošlje avtentikacijskemu strežniku (običajno RADIUS
strežnik), ki preveri identifikacijske podatke. Avtentikacijski strežnik se odzove s sporočilom,
ali je bila avtentikacija uspešna ali neuspešna. Če je odziv uspešen, je napravi dostop odobren
in lahko prične s pošiljanjem in sprejemanjem podatkov.
Pri delovanju brezžičnega omrežja brez avtentikacijskega strežnika je proces zelo podoben, s
tem, da se najprej uporabi odprto avtentikacijo za preverjanje pristnosti. Nato se sproži proces
802.1X in šele, ko je ta uspešno zaključen, dostopna točka napravi omogoči pretok prometa
(Henry, 2012).
Glavni protokol za preverjanje pristnosti zgoraj opisanega protokola 802.1X je RADIUS (ang.
Remote Dial-In User Service). To pomeni, da v primeru brezžične povezave prosilec oziroma
naprava izmenja sporočilo z avtentikatorjem. Avtentikator prevede sporočilo protokola 802.1X
v sporočilo RADIUS in ga posreduje RADIUS strežniku. Omenjena protokola sta posrednika
za preverjanje pristnosti med prosilcem oziroma napravo in RADIUS strežnikom. Za
avtentikacijo uporabljata metode, kot so LEAP, EAP-FAST, EAP-TLS ali PEAP.
RADIUS strežnik je potreben za obdelovanje avtentikacijskih prošenj, ki jih pošlje naprava.
Torej je RADIUS strežnik program, ki preverja pogoje za izdajo ali zavrnitev dostopa. Pogoj
je lahko identiteta, ki temelji na uporabniškem imenu in geslu, ali kateri izmed drugih pogojev
(temperatura, datum, ura itd.) (Henry, 2012).
19
EAP – razširljiv avtentikacijski protokol
Protokol 802.1X ne vsebuje posebnih metod za preverjanje pristnosti, niti ne določa, kako je
treba opraviti to preverjanje pristnosti. Da bi rešili ta problem, je organizacija IEEE dodala
protokol EAP (ang. Extensible Authentication Protocol) kot mehanizem za preverjanje
pristnosti protokola 802.1X. EAP opisuje štiri vrste sporočil: zahteva, izziv, uspeh, napaka.
EAP ne opisuje metod za preverjanje pristnosti, ampak preprosto opisuje ta sporočila.
V standardih 802.11, 802.1X in EAP se uporabljajo metode za preverjanje pristnosti. Poleg
imena se pogosto omenja metode avtentikacije (na primer LEAP), včasih EAP (na primer EAP-
PEAP). Četudi protokol 802.1X ni naveden v imenu metode, to ne pomeni, da ni uporabljen,
saj se ga vedno uporablja skupaj z EAP za blokiranje podatkovnega prenosa, dokler ni
preverjanje pristnosti uspešno zaključeno (Henry, 2012).
4.1.4 Vrste EAP
EAP-TLS (ang. Transport Layer Security) je mehanizem za preverjanje pristnosti, ki
deluje s pomočjo certifikatov. Certifikati so vrsta potrdil, ki temeljijo na asimetričnih
ključih. To so digitalno podpisani dokumenti, ki služijo za potrditev ID-ja pošiljatelja.
Certifikati zagotavljajo visoko stopnjo varnosti, saj nudijo mehanizem šifriranja in
način za preverjanje pristnosti pošiljateljevega sporočila. Ključ EAP-TLS mehanizma
je sestavljen iz certifikata in zasebnega ključa, oboje pa je nameščeno tako na napravi
kot RADIUS strežniku.
Za preverjanje pristnosti mora odjemalec (ang. client) oziroma naprava poslati svoj ID
(uporabniško ime) strežniku, ki se odzove s certifikatom. Naprava certifikat preveri in
pošlje svoj certifikat za potrditev. Ko je certifikat preverjen na obeh straneh, se lahko
prične šifrirani pogovor med odjemalcem oziroma napravo in strežnikom. Preko
šifriranega pogovora se izmenja glavni zasebni ključ in po odobritvi strežnika lahko
naprava prične z uporabo omrežja.
EAP-TLS je zelo varen in široko podprt s strani večine operacijskih sistemov. Edino
breme pri uporabi te metode je, da mora biti certifikat nameščen na vse naprave, ki
želijo uporabljati brezžično omrežje. EAP-TLS je uporabljen v varnih okoljih, kjer je
uporabnikom potrebno zagotoviti visoko raven varnosti (Henry, 2012).
20
EAP-FAST (ang. Flexible Authentication via Secure Tunneling) je rešitev podjetja
Cisco za zagotavljanje varnosti, enakovredne metodi EAP-TLS brez infrastrukturne
kompleksnosti certifikatov. EAP-FAST uporablja EAP-FAST strežnik, ki je postavljen
s strani Cisco podjetja in uporablja simetrični ključ algoritma za vzpostavitev
varnostnega tunela. Vzpostavitev tunela temelji na PAC (ang. Protected Access
Credential) dokumentu, ki je generiran dinamično s strani protokola EAP-FAST med
avtentikacijo za vsakega uporabnika. S tem je protokol EAP-FAST odporen na napad s
posrednikom ali napade, ki uporabljajo besedne slovarje (ang. dictionary attacks). EAP-
FAST je sestavljen iz dveh faz.
V fazi 1 se vzpostavi varni tunel med odjemalcem in strežnikom, ki temelji na PAC
dokumentu. PAC dokument mora vsebovati veljaven glavni ključ. V drugi fazi se izvede
preverjanje pristnosti odjemalca s pomočjo uporabniškega imena in gesla skozi
vzpostavljeni varni tunel (Cisco Systems INC., 3. september 2015).
EAP-FAST mehanizem se šteje za tako varnega kot EAP-TLS (Henry, 2012).
EAP-PEAP (ang. Protected EAP) bi lahko razumeli kot kompromis med EAP-TLS, ki
temelji izključno na uporabi certifikatov, in EAP-FAST, ki ne zahteva nobenega
certifikata. Delovanje protokola PEAP je podobno kot TLS z izjemo, da odjemalec
oziroma naprava ne vsebuje certifikata. Avtentikacija strežnika torej poteka s pomočjo
certifikata, naprava pa je avtenticirana s pomočjo uporabniškega imena in gesla.
PEAP se šteje za manj varno izbiro kot TLS, vendar pa je nekoliko lažji za upravljanje,
saj ne potrebuje certifikata na strani uporabnika (naprave) (Henry, 2012).
EAP-LEAP (ang. Lightweight EAP) je mehanizem, ki ga je razvilo podjetje Cisco konec
leta 2000 z namenom zamenjave WEP avtentikacije. Začetni postopek avtentikacije je
enak kot pri ostalih EAP mehanizmih, razlika je samo v tem da, ko odjemalec (naprava)
pošlje strežniku svoj ID, mu ta pošlje niz kot izziv. Odjemalec (naprava) izziv šifrira
skupaj z geslom in ga pošlje nazaj strežniku, ki ga dešifrira, preveri in, če se ujema,
potrdi identiteto odjemalca. Ko je ID odjemalca potrjen s strani strežnika, se zgodi
obratni postopek, tako da odjemalec pošlje izziv strežniku in nato preveri prejeti
rezultat. Ko je postopek na obeh straneh zaključen, se lahko izmenjava prične.
LEAP se ne uporablja več pogosto, saj je bil algoritem, uporabljen za šifriranje izziva,
razbit. To je tudi razlog, da morajo biti gesla uporabljena pri PEAP avtentikaciji čim
močnejša.
21
Poleg vseh naštetih EAP mehanizmov obstaja še več drugih, kot je na primer EAP-SIM ali
EAP-MD5, ki pa se ne uporabljajo prav pogosto v brezžičnih omrežjih (Henry, 2012).
4.1.5 WPA/WPA2 avtentikacija
WPA
Protokol WPA (ang. Wi-Fi Protected Access) je brezžični varnostni protokol, zasnovan
tako, da izboljšuje veliko varnostnih slabosti protokola WEP. Implementira večino
IEEE standarda 802.11i, ki določa varnostne mehanizme za brezžična omrežja. Protokol
WPA uporabnikom zagotavlja višjo stopnjo zanesljivosti in varnosti. Ključna novost za
izboljšavo varnosti je uporaba novega protokola za šifriranje podatkov, imenovanega
TKIP (ang. Temporal Key Integrity Protocol) (The Government of the Hong Kong
special administrative region, 2010).
WPA ponuja dva mehanizma za preverjanje pristnosti:
o WPA Personal, ki uporablja ročno nastavljeni PSK (ang. Pre-Shared Keys)
ključ,
o WPA Enterprise, ki uporablja 802.1X/EAP protokol in individualno
avtentikacijo uporabnikov preko RADIUS strežnika.
Protokol WPA prav tako kot WEP uporablja algoritem RC4 za šifriranje podatkov,
vendar dodaja funkcije, namenjene odpravi pomanjkljivosti WEP šifriranja. WPA
uporablja močnejšo avtentikacijo, saj je pristnost posameznega uporabnika lahko
preverjena s pomočjo 802.1X strežnika, kot je na primer RADIUS strežnik. Poleg
močnejše avtentikacije pa protokol WPA uporablja tudi daljši ključ, ki je sestavljen iz
daljšega inicializacijskega vektorja (IV) in glavnega ključa. Inicializacijski vektor je
dolžine do 48 bitov, glavni ključ pa do 128 bitov (Jacobs, 2008).
Novi mehanizem za šifriranje podatkov TKIP dodaja ključno vrednost protokolu WPA,
saj skrbi za spreminjanje ključa. Ključ se spreminja skozi čas in za vsak novi paket.
WPA šifrirani paket je veljaven samo 2 sekundi, zato je ponavljajoči napad (ang. Replay
attack) skoraj nemogoč. Da bi se izognili ponarejanju paketov, WPA dodaja algoritem
MIC (ang. Message Integrity Check) znotraj šifriranega prometa. MIC je 8-bitna
22
kontrola za preverjanje poskusov ponarejanja prometa. Če MIC mehanizem zabeleži
dve napaki v 60 sekundah, protokol TKIP zaustavi ves promet za naslednjih 60 sekund.
Ta zaustavitev onemogoča napadalcu razbitje MIC ključa.
Protokol WPA je veliko močnejši od WEP in napad nanj je daleč od lahkega. WPA PSK
sicer še vedno uporablja izzivni niz za preverjanje pristnosti, tako da še vedno obstaja
možnost za zajem in razbitje ključa. Zaradi uporabe protokola TKIP je razbitje dosti
težje kot pri WEP avtentikaciji (Henry, 2012).
WPA2
WPA2 je posodobitev protokola WPA, ki vsebuje celotno verzijo standarda 802.11i.
WPA2 kombinira mehanizme 802.1X/EAP in TKIP. Glavna sprememba te posodobitve
zajema uporabo novega algoritma za šifriranje, in sicer RC4 algoritem nadomesti novi
AES (ang. Advanced Encryption Standard) algoritem. Algoritmu AES je dodan dodaten
varnostni mehanizem CCMP (ang. Counter Mode with CBC-MAC Authentication). Ta
algoritem je veliko močnejši od RC4, vendar zahteva nadgradnjo strojne opreme.
WPA2 dodaja tudi dve novi metodi: metodo predavtentikacije, ki zagotavlja hitro in
varno prehajanje med dvema dostopnima točkama, in metodo »Key caching«, ki
omogoča enourno hranjenje primarnega ključa, ne da bi se moral uporabnik ponovno
avtenticirati (Henry, 2012).
4.1.6 WPS
Wi-Fi Protected Setup oziroma WPS funkcija je bila razvita, da bi rešila problem vnosa gesla
vedno, ko se želimo z novo napravo povezati v brezžično omrežje. Če ima usmerjevalnik
omogočeno WPS funkcijo, se lahko na le-tega poveže brez vnosa gesla.
WPS omogoča dva različna načina:
PIN: Usmerjevalnik ima določeno osemmestno PIN kodo, ki je potrebna za uspešeno
vzpostavljeno povezavo z omrežjem. Usmerjevalnik, namesto da bi vedno znova
preverjal osemmestno PIN kodo, preveri samo štiri številke PIN kode. Preverjanje samo
štirih številk naredi WPS PIN funkcijo zelo ranljivo. Štirimestna PIN koda ima 10 tisoč
kombinacij, ki jih lahko napadalci ugotovijo s pomočjo bruteforce napada v manj kot
enem dnevu. Zaradi tega razloga je omogočena WPS funkcija zelo odsvetovana.
Push-Button-Connect: Namesto vnašanja PIN kode se lahko v omrežje povežemo tudi
s preprostim pritiskom na gumb na usmerjevalniku. To je bolj varen način, saj lahko
23
naprave povežemo s to metodo samo nekaj minut po tem, ko je gumb pritisnjen. Edina
ranljivost te vrste funkcije je, da se lahko v omrežje poveže vsak, ki ima fizičen dostop
do usmerjevalnika.
Medtem ko je »Push-Button-Connect« opcijska metoda WPS funkcije, je PIN koda obvezna za
vse certificirane WPS naprave. Proizvajalci usmerjevalnikov te varnostne težave ne morejo
popraviti, ker je WPS specifikacija zelo slabo napisana in zahteva od vseh WPS naprav
preverjanje pristnosti s PIN kodo. Zato je vsaka naprava, ki omogoča WPS funkcijo, ranljiva
(Hoffman, 2013).
4.2 Varnostne grožnje in tveganja uporabe brezžičnih omrežij
4.2.1 Vrste napadov in nevarnosti
Brezžična omrežja so sestavljena iz štirih osnovnih elementov: prenosa podatkov z uporabo
radijskih frekvenc, dostopne točke, ki omogoča povezavo z omrežjem, odjemalskih naprav, kot
so prenosni računalniki, mobilni telefoni itd., in uporabnikov, ki to brezžično omrežje
uporabljajo. Vsaka komponenta predstavlja možnost napada, ki lahko ogrozi enega ali več
temeljnih varnostnih ciljev zaupnosti, celovitosti in razpoložljivosti (Min-Kyu in drugi, 2008).
Poceni oprema in pomanjkljivost varnostnih mehanizmov standarda 802.11 dajejo napadalcem
možnost za številne napade, tako pasivne kot aktivne. Ti napadi omogočajo vsiljivcem
prisluškovanje ter spreminjanje ali motenje brezžičnega omrežja (The Government of the Hong
Kong special administrative region, 2010).
Do nepooblaščenega dostopa v žična in brezžična omrežja lahko prihaja s pomočjo različnih
metod in namenov. Zato poznamo več vrst napadov nanje.
Naključna povezava
Ena od teh metod se imenuje naključna povezava. Naključna povezava se vzpostavi ob
prižigu računalnika, ki je znotraj dosega signala brezžičnega omrežja. Povezava se
vzpostavi samodejno brez zavedanja uporabnika. Varnost je ogrožena, saj s tem
izpostavimo naše zaščitene informacije. Če pa je računalnik še dodatno povezan v žično
omrežje, se lahko vzpostavi povezava tudi med drugimi omrežij (Min-Kyu in drugi,
2008).
24
Zlonamerna povezava
Zlonamerna povezava se zgodi, ko napadalec ustvari lažno brezžično dostopno točko in
s tem preusmeri ves promet skozi svojo mobilno napravo. To stori tako, da s pomočjo
programa nastavi mobilno napravo, da izgleda kot legitimna dostopna točka. Ko se
uporabnik poveže na tako lažno dostopno točko, napadalec pridobi dostop do omrežja
in s tem možnost kraje osebnih gesel, prisluškovanje omrežju ali pa lahko uporabniku
podtakne tudi virus. Zaščite, kot sta preverjanje pristnosti omrežja in uporaba
navideznega zasebnega omrežja (ang. VPN), ne predstavljajo nobene ovire za
napadalca, saj ideja pri takem napadu ni vdreti v VPN, ampak prevzeti uporabnika (Min-
Kyu in drugi, 2008).
Netradicionalna omrežja
Netradicionalna omrežja, kot so na primer Bluetooth omrežja, prav tako niso varna pred
napadi in jih je potrebno obravnavati kot varnostno tveganje. Celo čitalniki črtne kode,
brezžični tiskalniki in kopirni stroji so izpostavljeni tem napadom, zato se jih mora
zavarovati (Min-Kyu in drugi, 2008).
Kraja identitete (MAC spoofing)
Kraja identitete se pojavi, ko ima napadalec možnost prisluškovanja omrežnemu
prometu in s tem tudi možnost prepoznave MAC naslova računalnika z omrežnimi
privilegiji. Večina brezžičnih sistemov omogoča nekakšno MAC filtriranje, tako da
lahko le pooblaščeni računalniki dostopajo do omrežnih nastavitev. Vendar pa se lahko
MAC naslov, katerega napadalec predhodno prepozna, enostavno ponaredi s
programsko opremo in tako napadalec pridobi dostop do omrežnih nastavitev (Min-Kyu
in drugi, 2008).
Napad s posrednikom (ang. Man-in-the-middle)
Napadalec izvede napad s posrednikom s pomočjo lažne dostopne točke. Ta napad je
eden izmed bolj dovršenih napadov. Njegov namen je prisluškovanje šifriranemu
prometu med žrtvijo in spletnim strežnikom. Napadalec se preko nezavarovanega
računalnika poveže na svoj računalnik, ki je nastavljen kot lažna dostopna točka. Ob
uspešni vzpostavitvi povezave računalnika in napadalčeve točke je posledično žrtvi
25
podtaknjen certifikat, ki kaže na lažni strežnik, s tem pa je napadalcu omogočeno
prisluškovanje in prestrezanje šifriranega prometa (Min-Kyu in drugi, 2008).
Napad za zavrnitev storitve – DoS napad (ang. Denial-of-Service)
Pri tej vrsti napada gre za nenehno bombardiranje ciljne dostopne točke z lažnim
prometom. To povzroči sesutje omrežja in s tem posledično onemogočen dostop
uporabnikom do njega. Napadi za zavrnitev storitve zlorabljajo protokole, kot je EAP
(Min-Kyu in drugi, 2008).
Napad “Network Injection”
Napad se lahko zgodi samo na tisti dostopni točki, ki ne filtrira omrežnega prometa. Ker
omrežni promet na usmerjevalniku ni filtriran, lahko za posledico napadalec pošilja
lažne zahtevke in ukaze. Zaradi vpliva lažnih zahtevkov in ukazov na usmerjevalniku
se zruši celotno omrežje. V določenih primerih je potrebno ponovno nastaviti celotno
omrežje (Min-Kyu in drugi, 2008).
Napad “Caffe Latte”
“Caffe Latte” napad je način kako razbiti WEP zaščito brezžičnih omrežij. Napadalcu
ni treba biti v območju omrežja, da lahko izkoristi to varnostno luknjo. S pošiljanjem
šifriranih zahtev ARP (ang. Address Resolution Protocol) napadalec izkorišča prednost
skupnega ključa za preverjanje pristnosti. Ko napadalec prejme dovolj ARP paketkov,
lahko pridobi ključ WEP v manj kot šestih minutah (Min-Kyu in drugi, 2008).
4.2.2 Orodja za izvedbo napadov
Obstajata dve vrsti ranljivosti, ki ju lahko najdemo v brezžičnih omrežjih. Prva je slaba
konfiguracija, druga pa slabo šifriranje. Slaba konfiguracija je posledica površnega
administratorja, ki upravlja omrežje. Vključuje lahko šibka gesla, uporabo privzetih nastavitev,
slabe varnostne nastavitve itd. Slabo šifriranje je povezano z izbiro varnostnih ključev, ki se
uporabljajo za zaščito brezžičnega omrežja.
Napadalci za zlorabo teh dveh ranljivosti uporabljajo različna orodja, ki jih delimo na dve vrsti.
Prva vrsta orodij se uporablja za prisluškovanje omrežnemu prometu in spremljanje dogajanja
v omrežju. Druga vrsta pa je namenjena razbijanju WEP in WPA ključev (Shankdhar, 2015).
26
Aircrack
Aircrack je eno izmed najbolj priljubljenih orodij za razbijanje WEP in WPA-PSK
ključev. S pomočjo programa lahko na podlagi prejetih podatkovnih paketov
dešifriramo ključ. Zaradi uporabe FMS in PTW napadov je njegovo delovanje veliko
hitrejše v primerjavi z drugimi WEP orodji. Aircrack-ng služi kot skupek orodij za
prisluškovanje brezžičnim omrežjem (Aircrack, 31. avgust 2015).
AirSnort
AirSnort je še eno priljubljeno orodje za dešifriranje WEP ključev na 802.11b omrežjih.
Deluje s pasivnim spremljanjem prometa in ko zbere dovolj podatkov, začne z
dešifriranjem WEP ključev. Je zelo enostavno za uporabo (Shankdhar, 2015).
NetStumbler
Je orodje za iskanje odprtih brezžičnih dostopnih točk. Uporablja se tudi za preverjanje
konfiguracije omrežij, iskanje lokacije s slabim omrežjem, odkrivanje nedovoljenih
dostopnih točk itd. Poleg vseh dobrih lastnosti pa ima NetStumbler tudi veliko
pomanjkljivost. Sistemi za zaznavanje vdorov ga zlahka odkrijejo (Shankdhar, 2015).
Inssider
Inssider je orodje za skeniranje brezžičnih omrežij. Zasnovan je za delovanje na 64-
bitnem operacijskem sistemu Windows. Inssider omogoča sledenje signalu daljšega
časovnega obdobja in shranjevanje dnevniške datoteke GPS zapisov. Poleg tega je
njegova največja prednost sposobnost odkrivanja skritih brezžičnih točk (CIV, 2012).
Poleg naštetih orodij poznamo še druga, kot so Cain&Able (omogoča bruteforce napade),
WireShark (podrobna analiza omrežij), CoWPAttu (za napad na WPA omrežja), AirJack (za
vrivanje paketov), WepAttack (za razbijanje WEP ključev s pomočjo aktivnega slovarja) in še
mnogo drugih (Shankdhar, 2015).
4.3 Varnostni ukrepi za zavarovanje brezžičnih omrežij
Narava brezžičnih komunikacij ustvarja tri temeljne grožnje: prestrezanje, spreminjanje in
motenje.
27
4.3.1 Zavarovanje brezžičnih prenosov
Za zmanjšanje tveganja prisluškovanja brezžičnih prenosov obstajata dve vrsti protiukrepov.
Prvi ukrep vključuje metode za skrivanje brezžičnih signalov, drugi pa vključuje uporabo
šifriranja, četudi je brezžični signal prestrežen.
Za skrivanje in omejevanje brezžičnega signala obstaja nekaj enostavnih korakov:
Izklopimo lahko SSID oddajanje. SSID je ime naše brezžične točke oz. omrežja in s
tem, ko izklopimo javno oddajanje imena, povečamo varnost našega omrežja.
Napadalec ne bo mogel z navadno opremo videti, da naša točka obstaja.
Moč signala naše dostopne točke lahko omejimo na najnižjo raven, ki še zagotavlja
zahtevano pokritje za naše potrebe. Se pravi, da signal npr. omejimo, da je dostopen
samo znotraj objekta, če ga zunaj ne potrebujemo.
Za bolj učinkovite, ampak tudi dražje metode za zmanjšanje ali skrivanje signala, lahko
uporabimo tudi usmerjene antene, ki signal omejijo za delovanje znotraj želenega
področja.
Uporaba šifriranja za ves brezžični promet je najboljši način za zaščito zaupnosti informacij,
posredovanih preko brezžičnih omrežij. Z uporabo močnega šifriranja in močne avtentikacije
se lahko izognemo napadom, kot je na primer napad s posrednikom.
Tveganja motenj omrežja, kot je na primer napad DoS (denial-of-service), lahko zmanjšamo
tako, da izvajamo redne periodične revizije brezžičnih omrežnih dejavnosti ter po potrebi
odstranimo nezaželene naprave, ki so povezane v naše omrežje (Min-Kyu in drugi, 2008).
4.3.2 Zavarovanje brezžičnih dostopnih točk
Nezavarovane, slabo nastavljene brezžične dostopne točke lahko z omogočanjem
nepooblaščenih dostopov do omrežja ogrozijo zaupnost. Za zmanjšanje tega tveganja lahko
uporabimo nekaj protiukrepov:
Izločiti je potrebno vse nezaželene goste, ki se poslužujejo uporabe našega omrežja,
Pravilno moramo nastaviti vse naše dostopne točke,
Priporočeno je uporabljati standard 802.1X na vseh napravah v omrežju.
28
Najboljši način, da se izognemo vsem nezaželenim gostom v omrežju, je uporaba standarda
802.1X za avtentikacijo. Uporaba standarda 802.1X bo preprečila povezavo vsem
nepooblaščenim napravam v omrežju, saj nam omogoča uporabo močne avtentikacije za vse
naprave. Da se izognemo nepooblaščenim dostopom, je pomembno tudi, da vse naše dostopne
točke pravilno in predvsem varno nastavimo. Še posebej pomembno je spremeniti vse privzete
nastavitve našega usmerjevalnika (Min-Kyu in drugi, 2008)
4.3.3 Zavarovanje brezžičnih omrežij
Najučinkovitejši način za zagotovitev varnosti brezžičnih omrežij je uporaba šifriranja
komunikacije preko omrežja. Večina brezžičnih usmerjevalnikov, dostopnih točk in baznih
postaj ima vgrajen mehanizem za šifriranje, vendar je izklopljen, zato ga je potrebno ročno
vklopiti. K varnosti lahko pripomore tudi uporaba antivirusne programske opreme in požarnega
zidu. Večina usmerjevalnikov ima tudi mehanizem, imenovan identifikator oddajanja. Ta
pošilja signal vsem napravam v bližini in oznanja svojo prisotnost oziroma, drugače rečeno,
prikazuje napravam ime brezžičnega omrežja (SSID). Zato je dobra obramba proti napadalcem
izklop tega mehanizma. Če imamo oddajanje SSID imena kljub temu vklopljeno, je
priporočljivo, da spremenimo privzeto ime. Prav tako je priporočena uporaba gesla, dolžine
vsaj desetih znakov. Daljše kot je geslo, težje ga je razbiti. Ker so privzete nastavitve
posameznih proizvajalcev javne, je priporočljivo spremeniti tudi geslo za upravljanje našega
usmerjevalnika. Za dodatno povečanje varnosti brezžičnega omrežja se lahko vklopi MAC
filtriranje. Vsak računalnik, ki je sposoben komunicirati z omrežjem, ima dodeljen svoj
edinstven naslov – MAC. Usmerjevalniki omogočajo vklop funkcije, ki dostop do omrežja
omogoča samo napravam s posebnim MAC naslovom. Vendar zanašanje na samo ta
mehanizem ni posebno priporočljivo, saj, kot že omenjeno, lahko napadalci MAC naslov tudi
ponaredijo (Min-Kyu in drugi, 2008).
4.4 Varnost v javno dostopnih brezžičnih omrežjih
Javno dostopna brezžična omrežja nam omogočajo uporabo interneta na javnih krajih po vsem
svetu. S pomočjo javno dostopnih brezžičnih točk lahko na javnem kraju odgovorimo na
elektronsko pošto ali opravimo bančno transakcijo. Poleg prednosti javno dostopnih točk pa se
29
srečujemo tudi z nevarnostmi, na katere nismo dovolj pozorni. Pri tovrstnih omrežjih je
priporočena še večja previdnost kot v domačem omrežju.
Javna brezžična omrežja so najpogosteje dosegljiva na letališčih, železniških in avtobusnih
postajališčih, v hotelih, ladjah, nakupovalnih središčih, avtokampih in gostinskih lokalih. Na
navzočnost brezžičnega omrežja nas običajno opozori oznaka na Slika 4.2.
Slika 4.2: Free WiFi
Vir: Rokou (2012)
Uporaba javnih brezžičnih omrežij zahteva spoštovanje specifičnih varnostnih pravil, saj jih
uporabljajo naključni uporabniki, ki se med seboj ne poznajo in so lahko ob neupoštevanju teh
pravil izpostavljeni resnim varnostnim tveganjem. Uporabniki se morajo zavedati tveganj in
tako ustrezno zaščititi svoj računalnik. Pogosto tveganje predstavljajo nepridipravi, ki
prestrežejo nešifrirani omrežni promet in si lahko tako ogledajo elektronsko pošto, priponke in
druge vsebine uporabnika, ki niso javnega značaja. Ob prijavi v javno dostopno omrežje je
uporabnik obveščen, ali je omrežje šifrirano in na kakšen način. Vendar uporabnik ne sme
brezpogojno zaupati takim obvestilom. Da je uporabnik izpostavljen manjšemu tveganju
prestrezanja nešifriranega omrežnega prometa, je priporočljivo, da zaupne podatke šifrira sam.
Priporočljiva je tudi uporaba varne povezave s spletnim strežnikom, saj ob neuporabi varne
povezave ni varno pošiljati zaupnih podatkov.
Poleg omenjenih priporočil se lahko uporabniki javno dostopnih omrežij zaščitijo tudi z
uporabo šifriranih povezav VPN. Uporaba VPN povezave omogoča uporabnikom, da se lahko
povežejo po zaščitenem kanalu z internimi sistemi v posamezni organizaciji.
Tehnično najbolj napredna nevarnost v javnih omrežjih je WiPhishing ("brezžično lažno
predstavljanje"), ki mu v angleščini pravijo tudi Evil Twin Attack oziroma "napad zlobnega
dvojčka". Bistvo prevare je v tem, da napadalci zlorabijo način identifikacije omrežij oziroma
ime SSID, ki se izpiše uporabniku med najdenimi omrežji, ko se poskuša povezati v brezžično
omrežje.
30
Napadalci na bolj obiskanih krajih, kjer že obstaja legitimno javno brezžično omrežje,
vzpostavijo vzporedno omrežje z enakim imenom SSID in k sebi zvabijo nič hudega sluteče
uporabnike. Da bi lažje dosegli cilj, lahko celo ponaredijo prestrezni portal in s tem še bolj
zavedejo uporabnika. Zato je koristno preveriti pristnost digitalnega certifikata na teh portalih.
Ves internetni promet se odvija prek napadalčevih računalnikov, zato lahko ti razberejo vse
nešifrirane vsebine in tako pridobijo zelo občutljive podatke (uporabniška imena, gesla …).
Žrtve takih napadov so največkrat tisti uporabniki, ki si izdelujejo in shranjujejo seznam
prednostnih omrežij, s katerimi naj se računalnik, ko jih zazna, samodejno poveže. Zato uporaba
takih seznamov ni priporočljiva (Dakić, 2009).
5. ANALIZA BREZŽIČNIH OMREŽIJ
Leta 2011 sem izvedel analizo varnosti brezžičnih omrežij v Novem mestu. Analizo sem izvedel
s pomočjo programa za mobilne telefone z operacijskim sistemom Android, imenovanim »Wifi
Tracker«. Program je sproti beležil podatke o vseh brezžičnih omrežjih (ime omrežja, vrsta
zaščite, mac naslov …), ki jih je naprava zaznala. Zaščito sem preveril v vseh večjih
novomeških naseljih (Ločna, Drska, Grm, Ragovsko naselje). Takrat sem odkril kar 770
brezžičnih omrežij. Iz analize brezžičnih omrežij v okolici Novega mesta je bilo razvidno, da
je bila velika večina lastnikov brezžičnih omrežij že takrat dobro seznanjena s slabostmi
nezaščitenih omrežij, saj jih je imelo kar 654 svoje omrežje zaščiteno (84,9 %). Izmed vseh
zaznanih brezžičnih omrežij pa sem našel tudi 116 takšnih (15,1 %), na katere bi se lahko
priklopili brez posebnih računalniških znanj.
Cilj diplomske naloge v teoretičnem delu je bil pregledati prednosti ter slabosti brezžičnih
omrežij, delovanje varnostnih mehanizmov in tveganj pri uporabi le-teh. V raziskovalnem delu
pa želim ugotoviti, kakšna je osveščenost uporabnikov o varnosti brezžičnih omrežij na
območju Novega mesta. Pridobljene rezultate bom primerjal z rezultati o brezžičnih omrežjih
v Ljubljani. Cilj analize je tudi primerjava lokalnih podatkov s svetovnimi podatki, ki se
analizirajo na portalu wigle.net. Ta raziskava bo omogočila natančnejši vpogled v osveščenost
uporabnikov o varnosti brezžičnih omrežij. S pomočjo analize želim potrditi ali zavrniti
31
zastavljene hipoteze. Ugotoviti želim, ali se je stopnja osveščenosti uporabnikov o varnosti
brezžičnih omrežij v Novem mestu povečala v primerjavi z letom 2011.
S pomočjo raziskave želim preveriti spodnje zastavljene hipoteze.
H1: Osveščenost uporabnikov v Novem mestu o varnosti brezžičnih omrežij je večja kot leta
2011.
Od leta 2011 je tehnologija usmerjevalnikov napredovala do te mere, da praktično vsak
usmerjevalnik omogoča WPA2 avtentikacijo. WPA2 protokol vsebuje zadnji 802.11i potrjeni
standard s strani organizacije IEEE. Zaradi uporabe novega algoritma za šifriranje (AES)
predstavlja ta protokol skoraj neizvedljiv napad na ključ. Ker je podpora za WPA2 protokol
narasla, se je za WEP protokol zgodil obratni učinek. Pri novejših usmerjevalnikih je podpora
za WEP protokol popolnoma umaknjena.
Eden izmed razlogov večje osveščenosti uporabnikov je tudi vse večje medijsko opozarjanje na
nevarnosti in grožnje, ki pretijo uporabnikom brezžičnih omrežij.
H2: Število brezžičnih omrežij v Novem mestu je večje kot leta 2011.
Predpostavljam, da je eden izmed razlogov za povečanje števila brezžičnih omrežij porast
uporabe pametnih mobilnih naprav. Drugi razlog je, da želijo ljudje na vsakem koraku dostopati
do interneta. Poleg tega sklepam, da je na povečanje števila brezžičnih omrežij vplivala tudi
cena usmerjevalnikov, saj so dosegljivi po zelo nizkih in dostopnih cenah.
H3: Osveščenost uporabnikov v Novem mestu je enaka kot v Ljubljani 2013.
Menim, da so uporabniki v Ljubljani enako informirani o varnosti kot uporabniki v Novem
mestu. Prav tako pa imajo enake možnosti pri uporabi novejše strojne opreme.
H4: Zaščita brezžičnih omrežij v Novem mestu je boljša kot v svetu.
Ker Slovenija, in s tem tudi Novo mesto, ni slabo razvita na področju tehnologije, menim, da
je zaščita brezžičnih omrežij v Novem mestu boljša kot v svetu.
32
5.1 Analiza za Novo mesto 2015
V Novem mestu sem v septembru 2015 ponovno izvedel analizo varnosti brezžičnih omrežij, s
katero sem želel preveriti, kako je ta napredovala od leta 2011. Pridobivanje podatkov je
potekalo s pomočjo mobilne naprave in uporabe aplikacije Wigle Wifi Wardriving. Wigle Wifi
Wardriving aplikacija je odprtokodni projekt spletne strani wigle.net. Aplikacija s pomočjo
uporabe wifi modula in GPS naprave beleži in shranjuje brezžična omrežja med hojo ali vožnjo.
Pridobljene podatke shranjuje v datoteko skupaj z GPS lokacijami meritev zaznanih dostopnih
točk. Poleg lokacij dostopnih točk so v datoteki shranjeni tudi podatki, kot so SSID ime
omrežja, vrsta varnostnega protokola, ki ga uporablja dostopna točka brezžičnega omrežja,
MAC naslovi in kanali. V sami aplikaciji je omogočena tudi neposredna povezava z wigle.net,
kamor lahko naložimo vse naše pridobljene podatke.
Spletna stran wigle.net je bila ustanovljena leta 2001. Na njej se zbirajo informacije o dostopnih
točkah z vsega sveta. Namen spletne strani wigle.net je s pridobljenimi informacijami o
šifriranjih posameznih dostopnih točk prikazati stanje zaščit brezžičnih omrežij po svetu.
Spletna stran omogoča javni vpogled vseh naloženih oziroma zaznanih in odkritih dostopnih
točk. Dostopne točke so s pomočjo uporabe GPS lokacij izrisane na zemljevidu in tako
omogočajo uporabniku enostaven pregled le-teh (Wigle, 14. september 2015).
Spletna stran wigle.net v svoji podatkovni bazi vsebuje že več kot 212 milijonov zabeleženih
brezžičnih omrežij z GPS lokacijami. Ker sem analizo opravil s pomočjo wigle aplikacije, so
tam sedaj zabeležene tudi vse dostopne točke, ki sem jih zaznal sam.
Analize sem se lotil tako, da sem v prvem koraku preučil literaturo v zvezi z varnostjo
brezžičnih omrežij. Pregledal sem standarde in protokole, ki jih uporabljajo brezžična omrežja,
preučil pa sem tudi ranljivosti, ki prežijo nanje. S tem sem spoznal, kateri varnostni protokoli
so močni in kateri šibki, kar mi je pomagalo pri izdelavi grafov, saj sem vse varnostne protokole
oziroma zaščite razdelil od šibkih proti močnim. Poleg preučevanja literature o standardih in
varnostnih protokolih sem naredil tudi pregled mobilnih in računalniških aplikacij, ki
omogočajo podrobno analizo brezžičnih omrežij. Večina pregledanih aplikacij je omogočala
skeniranje in shranjevanje zaznanih omrežij v datoteko, vendar pa nekatere niso shranjevale
GPS lokacij točk. Pregledal sem širok nabor aplikacij in izbral aplikacijo »Wigle wifi
wardriving«, ki je bila ažurna in je imela opisane vse zahteve, ki sem jih potreboval za analizo
33
– izvoz podatkov v cvs datoteki, shranjevanje lokacij brezžičnih točk, in seveda tudi vrste
varnostnih protokolov. Poleg vseh mojih zahtev pa je aplikacija omogočala povezavo z
ogromno zunanjo wigle bazo podatkov. To je bil samo dodatni plus, saj mi je v veselje deliti
pridobljene podatke s svetom in tako omogočiti drugim uporabnikom vpogled in analizo teh
podatkov.
Pred pravim krogom analize sem izvedel nekaj testnih poizkusov, da sem se prepričal, ali vse
deluje, kot je opisano v dokumentaciji.
Pot zaznavanja brezžičnih dostopnih točk je potekala okrog centra Novega mesta, in sicer mimo
večjih blokovskih naselij in posameznih hiš. Pričela se je v samem centru Novega mesta in
nadaljevala skozi Mestne njive, Ločno in nato po obvoznici proti Ragovskemu naselju. Od
Ragovskega naselja se je pot nadaljevala mimo Grma, Nad mlini, nato skozi staro mestno jedro
do športnih objektov Loka. Od tam sem pot nadaljeval proti blokovskim naseljem Slavka
Gruma, Drski, mimo Šolskega centra Novo mesto, skozi Šmihel proti Bršljinu. Zajel sem
zgornji del Bršljina mimo policijske postaje Novo mesto in bršljinske osnovne šole, tam pa se
je pot detekcije tudi končala.
Zaznana brezžična omrežja na spodnjem zemljevidu (glej Slika 5.1) so označena z različno
obarvanimi točkami, in sicer:
Modra barva predstavlja odprto brezžično omrežje, to pomeni, da omrežje ne uporablja
nobenega varnostnega protokola.
Oranžna barva zajema omrežja, ki uporabljajo samo WPS.
Siva barva predstavlja uporabo protokola WEP, ki predstavlja slabo zaščito brezžičnih
omrežij.
Rumena in zelena barva pa označuje brezžična omrežja, ki uporabljajo protokol WPA
ali WPA2 za avtentikacijo uporabnikov.
34
Slika 5.1: Pot zaznavanja brezžičnih dostopnih točk
Vir: Kralj, lastna raziskava (2015)
Pridobljene podatke sem uvozil v Microsoft Excel in, ker sem se po določenih predelih peljal
večkrat, sem za začetek moral izločiti vse podvojene vnose. Vnose sem filtriral glede na MAC
naslove dostopnih točk, tako da sem res izločil samo tiste, ki se ponovijo dvakrat. Če bi vnose
filtriral glede na SSID ime dostopne točke, bi s tem izločil tudi tiste, ki sicer imajo podvojeno
ime in drugačen MAC naslov, zato je bil ta korak najbolj smiseln.
Po tem koraku sem določil filtre glede na vrsto zaščite. Pregledal sem vse možne kombinacije,
ki so bile zabeležene med zaznavanjem dostopnih točk. Glede na kombinacijo zaščit sem
določil pet glavnih kategorij:
OPEN – to so omrežja, ki niso uporabljala nobene vrste zaščite. To pomeni, da se na
tako vrsto omrežij lahko poveže prav vsak mimoidoči, ne da bi pri tem potreboval geslo
35
(ključ), certifikat ali kar koli drugega, kar omogoča šifrirano avtentikacijo. Ta kategorija
omogoča najnižjo stopnjo varnosti in jo danes uporabljajo predvsem lastniki gostinskih
lokalov, hotelov ali drugih storitvenih dejavnosti. S tem omogočijo svojim gostom hiter,
lahek in z vidika moje analize predvsem nevaren dostop do interneta. Ker v omrežjih z
oznako OPEN ni uporabljena nobena vrsta šifriranj, so s tem izpostavljeni tudi vsi
podatki uporabnikov teh vrst omrežij. Ker se na tako omrežje lahko poveže prav vsak,
lahko tudi prav vsak prisluškuje prometu takega omrežja. Uporaba odprtih omrežij ni
priporočena, še posebej pri uporabi občutljivih storitev, kot je na primer spletna banka,
saj lahko hitro pride do kraje podatkov.
WPS ONLY – Pod to kategorijo sem uvrstil dostopne točke, ki so za prijavo v omrežje
uporabljale samo WPS funkcijo. Se pravi, da niso uporabljale nobene druge vrste
protokolov za zaščito omrežij. Zaradi vseh naštetih pogojev, ki sem jih navedel v
teoretičnem delu naloge, sem uporabo WPS funkcije uvrstil pod šibko vrsto zaščite.
WEP + WPS – V tej kategoriji so zajete vse zaznane brezžične dostopne točke, ki so
uporabljale tako protokol WEP kot tudi WEP z WPS funkcijo. Ker sem želel glavni graf
prikazati s čim manj kategorijami, sem združil dostopne točke, ki so uporabljale samo
protokol WEP in tiste, ki so uporabljale WEP z WPS funkcijo. S tem, ko sem združil
obe vrsti dostopnih točk pod eno kategorijo, nisem naredil nobene škode analizi, saj sta
tako protokol WEP kot tudi WPS funkcija zelo ranljiva in spadata pod šibko vrsto
zaščite brezžičnih omrežij. Kadar imamo dostopne točke, ki uporabljajo protokol WEP
in imajo omogočeno še WPS funkcijo, je pri tem varnost dvakrat bolj ogrožena, saj WPS
funkcija dovoljuje dodatno luknjo ranljivosti, preko katere lahko napadalci pridobijo
dostop do izbranega omrežja.
WPA + WPA2 + WPS – Pri brezžičnih dostopnih točkah, ki so za zaščito uporabljale
protokol WPA, sem se srečal s problemom razvrstitve v kategorije. Dostopne točke, ki
so uporabljale samo protokol WPA, ni bilo težko uvrstiti v WPA kategorijo, vendar pa
so se tukaj pojavile tudi dostopne točke s protokolom WPA2. Te dostopne točke so ob
protokolu WPA2 omogočale tudi uporabo protokola WPA. Po prebrani literaturi in
razmisleku sem vse takšne dostopne točke uvrstil v kategorijo WPA, tudi če so imele
WPA2 kot prioriteto. Če dostopne točke uporabljajo protokol WPA2 in podpirajo
protokol WPA, se po mojem mnenju uvrščajo pod šibkejšo kategorijo avtentikacije. Te
36
dostopne točke so ne glede na uporabo protokola WPA2 ranljive skozi varnostne luknje
protokola WPA. Zaradi tega sem pod to kategorijo uvrstil vse dostopne točke z WPA in
pa tudi WPA + WPA2 podporo. Sem so uvrščena tudi vsa WPA omrežja z omogočeno
WPS funkcijo.
WPA2 ONLY + WPS – Ker spada protokol WPA2 pod najbolj zaželene in varne
varnostne protokole za zaščito brezžičnih omrežij, sem v to kategorijo uvrstil samo
dostopne točke, ki so omogočale in podpirale samo WPA2 avtentikacijo pri prijavi v
omrežje. V tej kategoriji so tudi tiste WPA2 dostopne točke, ki so imele omogočeno
WPS funkcijo, kljub varnostnim tveganjem, ki jih prinaša ta funkcija.
Glede na razvrstitev v zgoraj opisane kategorije so brezžična omrežja v Novem mestu
razdeljena na način, kot je prikazan v Grafu 5.1. V analizi je bilo uporabljenih 3185 zaznanih
brezžičnih omrežij oziroma dostopnih točk. Rezultati so naslednji:
OPEN oznaka predstavlja 9,0 odstotka od skupno 3185 analiziranih omrežij, kar
predstavlja 287 dostopnih točk.
WPS ONLY kategorija predstavlja 1,4 odstotka oziroma 45 dostopnih točk, ki
uporabljajo samo WPS funkcijo.
WEP + WPS kategorija predstavlja 2,6 odstotka oziroma 83 dostopnih točk.
WPA + WPA2 + WPS predstavlja največji del, in sicer 54,8 odstotka omrežij, ki
uporabljajo WPA protokol. Ta odstotek predstavlja 1745 dostopnih točk od skupno
3185 analiziranih.
WPA2 ONLY + WPS kategorija znaša 32,2 odstotka omrežij, kar je 1025 dostopnih
točk. Ta številka je kar spodbudna, saj približno tretjina vseh analiziranih omrežij
uporablja najvarnejši protokol. Po tem lahko sklepamo, da je kar nekaj uporabnikov
osveščenih o nevarnostih, ki pretijo na brezžična omrežja ali pa imajo samo dovolj vešče
administratorje, ki skrbijo za ta omrežja. Lahko pa so samo dobili tako tovarniško
nastavljeni usmerjevalnik.
37
Graf 5.1: Razdelitev brezžičnih omrežij glede na pet glavnih kategorij zaščite
Vir: Kralj, lastna raziskava (2015)
Zgoraj opisane kategorije lahko razdelimo še bolj podrobno in natančno na podkategorije.
Kategoriji OPEN in WPS ONLY ostaneta enaki, podatki se ne spremenijo. Kategorijo WEP +
WPS lahko razdelimo na dve podkategoriji, in sicer na WEP ONLY in WEP&WPS. V
podkategoriji WEP ONLY so zajeta samo tista omrežja, ki uporabljajo WEP protokol brez WPS
funkcije, pri WEP&WPS pa so zajeta omrežja, ki imajo to funkcijo omogočeno. Delež omrežij,
ki uporablja samo protokol WEP, znaša 2,4 odstotka od 3185 omrežij in znaša 75 dostopnih
točk. 0,3 odstotka oziroma 8 dostopnih točk pa ima poleg WEP protokola omogočeno tudi WPS
funkcijo. Ta kombinacija spada pod najbolj nevarne, zato lahko pri tem odstotku sklepamo, da
se večina uporabnikov tega zaveda, saj je odstotek takih omrežij zelo majhen. Ena od možnosti
je lahko tudi, da usmerjevalniki pogosto te kombinacije ne podpirajo.
Naslednjo glavno kategorijo, WPA + WPA2 + WPS, razdelimo v tri podkategorije, in sicer
WPA ONLY, WPA&WPA2 ter WPA&WPA&WPS. Če to opišemo natančneje –
podkategorija WPA ONLY zajema vsa tista omrežja, ki uporabljajo samo protokol WPA brez
WPA2 in WPS podpore. Ta podkategorija se nahaja nekje v sredini zaščit brezžičnih omrežij
in znaša 278 dostopnih točk, kar predstavlja 8,7 odstotka vseh analiziranih omrežij. Odstotek
je dokaj majhen, kar ni presenetljivo, saj je protokol WPA zgodnja različica protokola WPA2,
ki se zaradi hitre nadgradnje na WPA2 ni povsem prijel.
9,0 %
1,4 %2,6 %
54,8 %
32,2 % OPEN
WPS ONLY
WEP + WPS
WPA + WPA2 + WPS
WPA2 ONLY + WPS
38
Naslednja podkategorija, WPA&WPA2, predstavlja omrežja, ki uporabljajo protokol WPA2 s
podporo protokola WPA. Omrežij z WPA2 in podporo protokola WPA je 27,2 odstotka, kar je
866 dostopnih točk. V tej kategoriji ni dostopnih točk, ki bi omogočale WPS funkcijo. Te sem
uvrstil v naslednjo podkategorijo WPA&WPA2&WPS. To sem storil zato, ker omogočena
WPS funkcija pri usmerjevalnikih predstavlja nižjo oziroma šibkejšo stopnjo varnosti. Kadar
to funkcijo kombiniramo s katerimkoli brezžičnim varnostnim protokolom, se po mojem
mnenju varnost le-tega avtomatično zniža na nižjo raven, kot ga sicer predstavlja izbrani
protokol (WPS je sicer bolj za olajšanje povezovanja uporabnikov, ki imajo dovoljenje). Ta
podkategorija predstavlja 18,9 odstotka oziroma 601 dostopno točko.
To podkategorijo lahko dodatno razdelimo na dva dela: omrežja, ki spadajo pod glavno WPA
kategorijo in imajo WPA2 podporo z omogočeno WPS funkcijo in omrežja, ki uporabljajo samo
WPA protokol in imajo omogočeno WPS funkcijo. Od 18,9 odstotka oziroma 601 dostopnih
točk uporablja 40 dostopnih točk protokol WPA z omogočeno WPS funkcijo in 561 dostopnih
točk ima WPA2 podporo z omogočeno WPS funkcijo. Od 18,9 odstotka oziroma 601 dostopnih
točk uporablja 40 dostopnih točk protokol WPA z omogočeno WPS funkcijo in 561 dostopnih
točk uporablja WPA z WPA2 podporo ter omogočeno WPS funkcijo. To razdelitev prikazuje
Graf 5.3.
Zadnja, peta glavna kategorija WPA2 je ponovno razdeljena na dve podkategoriji. Prva
podkategorija WPA ONLY predstavlja vsa tista omrežja, ki za avtentikacijo uporabljajo samo
protokol WPA2. To pomeni, da ta omrežja ne uporabljajo nobene druge funkcije ali podpore
za nižji protokol, podpirajo izključno in samo WPA2. Predstavljajo 21,4 odstotka od 3185
analiziranih omrežij. To je 682 dostopnih točk, kar po mojem mnenju ni veliko, saj sem glede
na današnji razvoj tehnologije pričakoval višji odstotek teh omrežij.
Druga podkategorija WPA2 kategorije zajema tista omrežja, ki uporabljajo samo protokol
WPA2, se pravi brez podpore za nižje protokole, in imajo omogočeno WPS funkcijo. Takih
omrežij je 10,8 odstotka oziroma 343 dostopnih točk.
39
Graf 5.2: Razdelitev brezžičnih omrežij glede na podkategorije zaščite
Vir: Kralj, lastna raziskava (2015)
Graf 5.3: Razdelitev za WPA protokol
Vir: Kralj, lastna raziskava (2015)
Če bi želeli ustvariti in prikazati »navidezno« visoko stopnjo uporabe močnih protokolov
(WPA2), bi lahko vsa omrežja, ki uporabljajo protokol WPA2, uvrstili v WPA2 kategorijo in
iz analiziranih podatkov dobili Graf 5.4.
9,0 %
1,4 % 2,4 %0,3 %
8,7 %
27,2 %
18,9 %
21,4 %
10,8 %
OPEN
WPS ONLY
WEP ONLY
WEP & WPS
WPA ONLY
WPA & WPA2
WPA & WPA2 & WPS
WPA2 ONLY
WPA2 & WPS
samo WPA z
omogočeno WPS funkcijo
6,7 %
WPA s podporo
WPA2 in WPS funkcijo
93,3 %
40
Graf 5.4: Navidezni prikaz vrste zaščit brezžičnih omrežij
Vir: Kralj, lastna raziskava (2015)
Pri tem grafu je stopnja uporabe protokolov WPA2 nenadoma zelo visoka. Kar 53,2 odstotka
omrežij uporablja protokol WPA2. To je sicer res, vendar pa veliko takih omrežij omogoča tudi
podporo za protokol WPA, kar lahko predstavlja ranljivosti, kot sem opisal že zgoraj. Če ne bi
gledali z vidika varnosti, bi lahko rekli, da več kot polovica analiziranih omrežij uporablja
protokol WPA2 za avtentikacijo.
Ker je glavna tematika moje analize varnost, sem pridobljene podatke razvrstil še na en način.
Želel sem čim bolj natančno prikazati dobljene podatke, in sicer z vidika, koliko brezžičnih
omrežij dejansko uporablja močno avtentikacijo. Podatke sem ponovno razdelil v pet kategorij.
Razdelil sem jih od šibke proti močni vrsti zaščite v smeri urinega kazalca. Prva OPEN
kategorija je ponovno zajemala vse dostopne točke, ki niso imele nobene avtentikacije. Ta
kategorija vsebuje iste elemente kot zgoraj in torej še vedno znaša 9,0 odstotka od vseh 3185
analiziranih brezžičnih omrežij. Naslednja WPS kategorija pa je dobila nov pomen. V to
kategorijo sem uvrstil popolnoma vse dostopne točke, ki so imele vklopljeno WPS funkcijo, se
pravi vse brezžične dostopne točke ne glede na uporabljeni protokol (WEP, WPA, WPA2). To
sem storil zato, da bi prikazal dejansko stopnjo varnosti, saj WPS funkcija spada pod zelo
ranljive in omogoča napadalcem hiter vdor v brezžična omrežja.
Pri taki razvrstitvi podatkov se je odstotek WPS kategorije drastično povečal z 1,4 odstotka na
kar 31,3 odstotka, ki predstavlja 997 vseh analiziranih brezžičnih omrežij. Po mojem mnenju
6,2 %
1,0 %1,8 %
37,8 %53,2 %
OPEN
WPS ONLY
WEP
WPA
WPA2
41
se veliko uporabnikov ne zaveda, kako ranljiva je lahko omogočena WPS funkcija na
usmerjevalnikih, saj jo uporablja več kot tretjina vseh uporabnikov.
V WEP kategorijo sem uvrstil dostopne točke, ki za avtentikacijo uporabljajo WEP protokol.
Pri tej delitvi sem izločil tiste dostopne točke, ki so imele omogočeno WPS funkcijo. Kot že
zgoraj ugotovljeno, takih dostopnih točk ni veliko, zato se odstotek pri tej delitvi ni veliko
spremenil. Ostalo je 75 oziroma 2,4 odstotka omrežij, ki uporabljajo samo WEP protokol.
Pri naslednji WPA kategoriji je ponovno prišlo do velike spremembe v odstotkih. Iz prejšnjih
54,8 odstotka je uporaba protokola WPA padla na 35,9 odstotka. Posledica te spremembe je,
ker sem pri tej kategoriji upošteval samo tiste dostopne točke, ki so imele izklopljeno WPS
funkcijo. Pod WPA kategorijo sem štel vse dostopne točke z omogočenim protokolom WPA,
ne glede na to, ali so imele podporo za protokol WPA2. Takih dostopnih točk je bilo 1144.
Zadnja WPA2 kategorija vključuje tista brezžična omrežja, ki uporabljajo samo protokol
WPA2 brez WPS funkcije in brez podpore za nižje protokole. Odstotek ni tako majhen, saj
znaša 21,4, vendar bi pri tej kategoriji pričakoval višjo stopnjo uporabnikov. Od skupno 3185
analiziranih omrežij uporablja izključno protokol WPA2 (brez WPS funkcije) samo 682
dostopnih točk.
Iz teh podatkov lahko trdim, da več kot polovica (57,3 %) brezžičnih omrežij deluje na
močnejših varnostnih protokolih. Ta podatek ni spodbuden, saj 42,7 odstotka analiziranih
brezžičnih omrežij uporablja šibko vrsto zaščite. V kar 1360 brezžičnih dostopnih točk bi lahko
napadalci vdrli brez posebnega truda. Povprečen čas za razbitje WPS PIN kode je manj kot en
dan. Podobno velja tudi za WEP protokol.
42
Graf 5.5: Razdelitev brezžičnih omrežij glede na najšibkejšo ranljivost zaščite
Vir: Kralj, lastna raziskava (2015)
Pridobljene podatke sem razdelil in analiziral še s tretjega vidika. Dostopne točke sem razdelil
v nove, drugačne kategorije. Te kategorije sem določil glede na točno vrsto avtentikacije, ki jo
uporabljajo omrežja. V teoretičnem delu naloge sem naštel in opisal več možnih vrst
avtentikacij in uporabe različnih algoritmov ter ključev, ki se uporabljajo pri avtentikacijah za
brezžična omrežja. Če se spomnimo, lahko WPA in WPA2 omrežja uporabljajo več vrst
protokolov EAP, ti pa lahko uporabljajo različne mehanizme, algoritme in ključe za šifriranja,
kot so na primer TKIP (ang. Temporal Key Integrity Protocol), PSK (ang. Pre-Shared Keys),
MIC (ang. Message Integrity Check), CCMP (ang. Counter Mode with CBC-MAC
Authentication) in AES (ang. Advanced Encryption Standard). Zaradi vseh različnih
kombinacij, ki se lahko uporabijo pri zaščiti brezžičnih omrežij, sem podatke razdelil na 26
različnih kategorij. S temi kategorijami sem zajel vse možne kombinacije, ki so bile zaznane
pri moji analizi Novega mesta. Izpostavil bom pet najbolj pogosto uporabljenih različic.
Prva, že večkrat omenjena je kategorija tistih dostopnih točk, ki imajo omogočeno WPS
funkcijo (na Grafu 5.6, oznaka WPS). Takih dostopnih točk je bilo 997. Naslednja pogosto
uporabljena kombinacija je WPA-PSK-CCMP+TKIP, ki jo uporablja 1153 dostopnih točk. Pri
tej kombinaciji gre za uporabo protokola WPA z ročno nastavljenim skrivnim PSK ključem in
TKIP varnostnim mehanizmom, ki skrbi za šifriranje podatkov. TKIP mehanizem predstavlja
ključno novost protokola WPA, zato ni presenetljivo, da je v mojem primeru eden izmed najbolj
9,0 %
31,3 %
2,4 %
35,9 %
21,4 %OPEN
WPS
WEP - NO WPS
WPA - NO WPS
WPA2 - NO WPS - NO WPA
43
uporabljenih kombinacij pri protokolu WPA. Zaradi uporabe TKIP mehanizma so paketi
veljavni samo dve sekundi, nato se začasni ključ ponovno spremeni. CCMP je dodatni varnostni
mehanizem algoritma AES za šifriranje, ki je v sklopu protokola WPA2. Čeprav je ta
mehanizem omogočen samo pri protokolih WPA2, pa se lahko prav tako uporabi pri WPA
avtentikaciji. Se pravi, v našem primeru omrežja podpirajo tudi novejšo vrsto mehanizma AES
CCMP.
Tretja, pogosto uporabljena kategorija je WPA-PSK-TKIP. Ta kategorija je identična prejšnji,
z izjemo, da ne omogoča podpore novejšega AES CCMP mehanizma. Takih dostopnih točk
najdemo 340.
Četrta kategorija WPA2-PSK-CCMP spada že pod protokol WPA2 in uporablja ročno
nastavljeni PSK ključ ter tudi novi AES CCMP mehanizem za šifriranje. Da je to druga najbolj
uporabljena WPA2 kombinacija, me ne preseneča, saj je to osnovna WPA2 konfiguracija
avtentikacije. Dostopnih točk s tako vrsto avtentikacije je nekaj več kot 880.
Peta in najbolj uporabljena kombinacija je WPA2-PSK-CCMP+TKIP. Ta je skoraj identična
prejšnji WPA2 kombinaciji, edina razlika je, da omogoča in je kompatibilna tudi s starim WPA
TKIP varnostnim mehanizmom. Dostopnih točk s to kombinacijo je največ, in sicer 1174. Ta
kombinacija mehanizmov je zelo podobna WPA-PSK-CCMP+TKIP, saj tako kot pri WPA tudi
tukaj omogoča kompatibilnost z mehanizmi drugih protokolov.
Iz štirih najbolj pogostih kombinacij je razvidno, da v Novem mestu uporabniki uporabljajo
močno kombinacijo zaščite.
44
Graf 5.6: Podrobni pregled vrste zaščit brezžičnih omrežij
Vir: Kralj, lastna raziskava (2015)
V analizi pridobljene podatke za Novo mesto sem primerjal tudi s podatki v svetovnem merilu.
Analize varnosti v brezžičnih omrežij opravljajo uporabniki po vsem svetu in jih objavljajo na
spletni strani wigle.net. Ker je svetovna statistika javno objavljena na wigle.net spletni strani,
sem izdelal graf, ki prikazuje primerjavo med Novim mestom in svetovno wigle.net statistiko
(glej Graf 5.7).
Spletna stran wigle.net podatke deli na pet kategorij, ki se malenkost razlikujejo od moje
dosedanje razdelitve. Wigle.net loči OPEN, UNKNOWN, WEP, WPA in WPA2 kategorije,
zato sem moral svoje podatke razporediti malenkost drugače. Najprej sem ugotovil, da
wigle.net ne ločuje omrežij glede na uporabo WPS, zato sem vse moje dostopne točke, ki
uporabljajo samo WPS, uvrstil v UNKNOWN. Ta kategorija beleži vsa neznana omrežja, se
pravi tista omrežja, ki ne uporabljajo odprte avtentikacije, WEP, WPA ali WPA2 protokola.
Spremembo razdelitve podatkov sem potreboval tudi pri kategoriji WPA2. Po mojih
ugotovitvah wigle.net v kategorijo WPA2 uvršča vsa omrežja, ne glede na to, ali omogočajo
podporo za WPA. Vse dostopne točke, ki so uporabljale WPA2 (ne glede na podporo WPA),
0
200
400
600
800
1000
1200
1400O
PE
N
WP
S O
NL
Y
[WP
S]
WE
P
[WP
A-E
AP
-CC
MP
]
[WP
A-E
AP
-CC
MP
+T
KIP
]
[WP
A-E
AP
-TK
IP]
[WP
A-E
AP
+C
CK
M-…
[WP
A-E
AP
+P
SK
-CC
MP
]
[WP
A-P
SK
-CC
MP
]
[WP
A-P
SK
-CC
MP
+T
KIP
]
[WP
A-P
SK
-TK
IP]
[WP
A2
-?]
[WP
A2
-EA
P-C
CM
P-p
reau
th]
[WP
A2-E
AP
-CC
MP
]
[WP
A2
-EA
P-C
CM
P+
TK
IP]
[WP
A2
-EA
P-C
CM
P+
TK
IP-…
[WP
A2-E
AP
+C
CK
M-C
CM
P]
[WP
A2-E
AP
+C
CK
M-C
CM
P-…
[WP
A2-E
AP
+C
CK
M-…
[WP
A2
-PS
K-C
CM
P-p
reau
th]
[WP
A2
-PS
K-C
CM
P]
[WP
A2
-PS
K-C
CM
P+
TK
IP-…
[WP
A2
-PS
K-C
CM
P+
TK
IP]
[WP
A2
-PS
K-T
KIP
-pre
auth
]
[WP
A2-P
SK
-TK
IP]
45
sem torej uvrstil v WPA2 kategorijo. Ostale kategorije so ostale nespremenjene. Statistika
spletne strani wigle.net temelji na več kot 212 milijonov zabeleženih brezžičnih omrežjih. Pri
mojih podatkih se je, zaradi drugačne delitve WPA2 omrežij, število brezžičnih dostopnih točk
navidezno povečalo na 4612. Razlika v številki brezžičnih dostopnih točk je nastala, ker so v
WPA kategoriji zabeležene vse dostopne točke s protokolom WPA, ne glede na to, ali imajo
podporo tudi za WPA2. Enako je tudi pri WPA2 kategoriji, tam so vse dostopne točke tudi tiste,
ki imajo WPA podporo.
Odstotek kategorije OPEN novomeških omrežij, ki ne uporabljajo nobenih protokolov za
šifriranje, je v primerjavi s svetom nižji. Znaša 6,2 odstotka, medtem ko wigle podatki kažejo
8,9 odstotka. Razlika je zelo majhna, vendar lahko po tem odstotku trdim, da je osveščenost
novomeških uporabnikov o uporabi odprtih omrežij malo nad povprečjem.
Razlika naslednje UNKNOWN kategorije je velika. Pri moji analizi znaša 1 odstotek, pri wigle
pa 18,6 odstotka. Ta razlika je nastala zaradi različnih podatkov. Spletna stran wigle.net v
UNKNOWN kategorijo uvršča še vsa dodatna GSM omrežja, ki jih uporabniki prav tako
zajamejo pri skeniranju. Sam takih omrežij nimam, ker sem jih izločil v začetku analize, saj
analiza GSM omrežij ni relevantna za mojo analizo.
Pri WEP kategoriji so podatki zelo spodbudni, predvsem za Novo mesto. Razlika med Novim
mestom in svetom je velika. Novomeških omrežij, ki uporabljajo WEP zaščito, je 1,8 odstotka
v primerjavi s svetom, kjer ta odstotek znaša 12,9. Razlika je velika glede na dejstvo, da
protokol WEP že izumira. Pri tako veliki razliki med odstotki, bi lahko brez težav rekel, da so
uporabniki brezžičnih omrežij v Novem mestu dobro seznanjeni s slabostmi, ki jih prinaša
uporaba protokola WEP.
Odstotek novomeških omrežij, ki uporabljajo ali pa samo dodatno omogočajo podporo za
protokol WPA, je 37,8, kar je mnogo več od wigle.net statistike, pri kateri je ta odstotek samo
9,5. Po tem lahko sklepamo, da se veliko uporabnikov brezžičnih omrežij v Novem mestu ne
zaveda, da bi bilo pri uporabi protokola WPA2 dobro onemogočiti podporo za WPA. Če bi
izločili vse dostopne točke, ki uporabljajo WPA2 s podporo WPA, bi dobili drugačen odstotek.
Pri taki delitvi podatkov bi dobili, da 6,9 odstotka dostopnih točk dejansko uporablja samo
protokol WPA. Za WPA2 kategorijo je odstotek skoraj enak kot v svetu (53,2 % Novo mesto,
50,1 % svet).
46
Graf 5.7: Primerjava vrst zaščit brezžičnih omrežij z wigle podatki 2015
Vir: Kralj, lastna raziskava (2015); Wigle (2015)
Pri analizi me je poleg uporabe varnostnih protokolov zanimalo tudi število tistih omrežij, ki
uporabljajo tovarniško nastavljena SSID imena dostopnih točk. To so imena, ki so že
prednastavljena s strani proizvajalcev brezžičnih usmerjevalnikov. Zanimalo me je, kako so
uporabniki malomarni in ne zamenjajo tovarniško nastavljenega SSID imena. Da bi lahko
določil število teh omrežij in jih v nadaljevanju analize tudi primerjal s podatki na wigle.net,
sem potreboval čim večjo bazo oziroma seznam tovarniških SSID imen za brezžična omrežja.
Po raziskovanju na spletu sem se odločil za seznam imen, ki je objavljen na wigle.net, saj sem
le tako lahko izvedel točno primerjavo z njihovimi podatki. Seznam je poleg tovarniških imen
(»netgear«, »linksys« ...) zajemal tudi nekaj najbolj pogostih javnih SSID imen, kot so na
primer »gostje«, »petrolguest«, »wifi«, »eduroam«, »t-2«, itd., ki sicer niso tovarniško
nastavljena s strani proizvajalcev brezžičnih usmerjevalnikov. Ta imena so zelo pogosto
uporabljena ali celo prednastavljena s strani internetnih ponudnikov, kot je na primer »t-2«. Ker
je bilo število dostopnih točk za ročni pregled preveliko, sem izdelal kratek program v javi, ki
je to storil namesto mene. Program je primerjal dva seznama in preštel, kolikokrat se vrstice
ujemajo. Po pridobljenih podatkih sem izdelal spodnji graf, ki prikazuje odstotek teh omrežij.
Dostopnih točk, ki uporabljajo tovarniško nastavljeno ime (SSID) omrežja ali pa spadajo pod
kategorijo največkrat uporabljenih, je nekaj več kot 500 oziroma 15,8 odstotka od vseh 3185
analiziranih omrežij.
6,2 %
1,0 % 1,8 %
37,8 %
53,2 %
8,9 %
18,6 %
12,9 %9,5 %
50,1 %
OPEN UNKNOWN WEP WPA WPA2
MOJA ANALIZA WIGLE
47
Graf 5.8: Tovarniška imena brezžičnih omrežij
Vir: Kralj, lastna raziskava (2015)
Ta omrežja sem dodatno prikazal tudi glede na to, koliko izmed vseh brezžičnih omrežij ne
uporablja nobene zaščite, se pravi, kolikšen delež OPEN kategorije uporablja tovarniško
nastavljena imena. Rezultat te primerjave je, da od skupno 287 odprtih dostopnih točk
uporablja, kar 102 oziroma 35,5 odstotka dostopnih točk tovarniško nastavljena imena. Po tem
lahko predpostavljam, da je od 35,5 odstotka dostopnih točk večina uporabnikov takih, ki so
svoj usmerjevalnik priklopili na omrežje, ne da bi spreminjali nastavitve le-tega. Sklepamo
lahko, da sta pri teh omrežjih nastavljena tudi tovarniško ime in geslo za upravljanje
usmerjevalnika. To predstavlja veliko nevarnost za taka omrežja, saj so tovarniška imena in
gesla posameznih podjetij, ki proizvajajo usmerjevalnike, javno znana. Odstotek takih
dostopnih točk na srečo v primerjavi s celoto ni velik in predstavlja »samo« 3,2 odstotka vseh
analiziranih omrežij.
15,8 %
84,2 %
z default SSID
OSTALA
48
Graf 5.9: Tovarniška imena odprtih brezžičnih omrežij
Vir: Kralj, lastna raziskava (2015)
Če primerjamo odstotek novomeških omrežij s tovarniško nastavljenimi SSID imeni glede na
svetovne podatke, ki so objavljeni na spletni strani wigle.net, dobimo Graf 5.10. Odstotek
novomeških omrežij, ki so bila analizirana z enako bazo imen kot pri wigle.net, je okrog petkrat
večji. Se pravi, da je petkrat več takih uporabnikov, ki tovarniškega imena omrežja niso
spremenili. Od vseh analiziranih omrežij uporablja tovarniško nastavljena SSID imena 15,8
odstotka, v primerjavi s svetom je odstotek mnogo manjši in znaša 3,7 odstotka. Če Novo mesto
primerjamo s svetom, je glede te razvrstitve podatkov slabše osveščeno, saj je sprememba SSID
imena omrežij zelo priporočljiva.
64,5 %
35,5 %
OSTALA
z default SSID
49
Graf 5.10: Primerjava tovarniških imen brezžičnih omrežij z wigle podatki 2015
Vir: Kralj, lastna raziskava (2015); Wigle (2015)
5.2 Analiza za Novo mesto 2011
V aprilu 2011 sem izvedel analizo brezžičnih omrežij v Novem mestu. Pri analizi sem se
osredotočil na preverjanje vrste zaščite, ki jo uporabljajo uporabniki brezžičnih omrežij.
Analizo sem izvedel s pomočjo programa za Android naprave, imenovanega “wifi tracker”.
Wifi Tracker je Wi-Fi skener, ki omogoča podrobno analizo stanja brezžičnih omrežij. Ta
program uporablja kombinacijo GPS in WiFi za skeniranje brezžičnih omrežij, zato da lahko
nato shrani njihovo lokacijo v datoteko skupaj z analiziranimi podatki omrežja. Dober je za
tako imenovani “wardriving”, saj lahko med vožnjo z avtomobilom po naselju shranjuje
podatke vseh zaznanih brezžičnih dostopnih točk. Ker podatke shranjuje v datoteko, nam to
omogoča kasnejšo analizo stanja dostopnih točk (odprta, zavarovana ...) v naselju. Poleg analize
vrst zaščite dostopnih točk pa WiFi Tracker zazna tudi vrsto proizvajalca (WiFi Tracker, 10.
september 2015).
Pot analize je podobna kot v letu 2015, ki je opisana že zgoraj.
84,2 %
15,8 %
96,3 %
3,7 %
OSTALA DEFAULT SSID
MOJA ANALIZA WIGLE
50
Slika 5.2: Pot zaznavanja brezžičnih dostopnih točk
Vir: Kralj, lastna raziskava (2015)
Zbrane podatke analize sem razvrstil na enak način kot v letu 2015.
Graf 5.11 prikazuje delež vrste zaščite analiziranih brezžičnih omrežij, izražen v odstotkih. Od
skupaj 770 analiziranih dostopnih točk 17,7 odstotka dostopnih točk uporablja protokol WPA2,
54,7 odstotka dostopnih točk protokol WPA, 11 odstotkov protokol WEP, 1,6 odstotka samo
WPS, 15,1 odstotka dostopnih točk pa je brez zaščite oziroma prosto dostopnih.
51
Graf 5.11: Razdelitev brezžičnih omrežij glede na pet glavnih kategorij zaščite
Vir: Kralj, lastna raziskava (2011)
Za bolj točen prikaz uporabe vrst zaščit pri brezžičnih omrežjih sem podatke, tako kot pri analizi
2015, tudi pri analizi 2011 razdelil glede na uporabo varnostnih protokolov od najšibkejšega
proti najmočnejšemu. Odstotek OPEN kategorije oziroma odprtih omrežij je ostal
nespremenjen in je znašal 15,1 odstotka. Kategorija WPS se je močno spremenila, in sicer z 1,6
odstotka je poskočila na 17,7. Razlog za ta skok je, da sem v to kategorijo uvrstil prav vse
dostopne točke, ki so imele omogočeno WPS funkcijo. Kategorija WEP se ni veliko spremenila,
in sicer je z 11 odstotkov padla na 10. Razlika tega odstotka je izločitev dostopnih točk z
omogočeno WPS funkcijo.
WPA kategorija je glede na novo razporeditev podatkov znašala 44,9 odstotka. Prav tako pa je
za nekaj odstotkov padla tudi WPA2 kategorija, in sicer na 12,3 odstotka. Ključnega pomena
je WPA2 kategorija in tukaj vidimo, da je leta 2011 12,3 odstotka vseh analiziranih omrežij
uporabljalo izključno protokol WPA2, ki velja za najbolj varnega.
15,1 %1,6 %
11,0 %
54,7 %
17,7 %
OPEN
WPS ONLY
WEP + WPS
WPA + WPA2 + WPS
WPA2 ONLY + WPS
52
Graf 5.12: Razdelitev brezžičnih omrežij glede na najšibkejšo ranljivost zaščite
Vir: Kralj, lastna raziskava (2011)
Za podatke iz leta 2011 sem za podrobni pregled izdelal nove kategorije. Da sem zajel vse
kombinacije uporabljenih protokolov in mehanizmov, sem potreboval 15 kategorij. Teh
kategorij je v primerjavi z letom 2015 manj. Razlog za to je v napredovanju tehnologije, saj je
takrat protokol WPA2 omogočalo dosti manj usmerjevalnikov kot danes. Glede na uporabljeni
protokol WPA izpostavimo najbolj pogosto kombinacijo, in sicer WPA-PSK-TKIP. Dostopnih
točk s to kombinacijo je bilo 263 oziroma 34,15 odstotka in vsa so uporabljala ročno nastavljeni
skrivni PSK ključ, ki je ključna novost protokola WPA ter TKIP mehanizem, ki skrbi za
šifriranje. Najbolj uporabljena kombinacija pri protokolu WPA2 je bila WPA2-PSK-
CCMP+TKIP. Ta kombinacija je zelo podobna prejšnji s to izjemo, da prioritetno uporablja
novi AES CCMP algoritem, še vedno pa omogoča tudi podporo za stari WPA TKIP. Dostopnih
točk s to vrsto avtentikacije je bilo 114 oziroma 14,8 odstotka.
15,1 %
17,7 %
10,0 %44,9 %
12,3 % OPEN
WPS
WEP - NO WPS
WPA - NO WPS
WPA2 - NO WPS - NO
WPA
53
Graf 5.13: Podrobni pregled vrste zaščit brezžičnih omrežij
Vir: Kralj, lastna raziskava (2011)
Zanimala me je tudi primerjava pridobljenih podatkov iz leta 2011 in svetovnih podatkov istega
leta. Zato sem s spletne strani wigle.net izpisal statistične podatke iz leta 2011. Pridobljene
podatke sem na enak način kot pri analizi 2015 razdelil na pet kategorij, kot jih deli spletna
stran wigle.net. WPS podatke sem uvrstil v UNKNOWN (neznano) kategorijo. Ostali podatki
so ostali enako razvrščeni.
Če primerjamo podatke za Novo mesto, pridobljene 2011, in svetovno statistiko iz istega leta,
dobimo naslednje rezultate:
OPEN – odprtih omrežij je bilo v Novem mestu takrat dosti manj kot v svetu, odstotek je
približno dvakrat manjši. V svetu je bilo 25,8 odstotka odprtih omrežij, v Novem mestu pa 12,3
odstotka. Po tem lahko sklepamo, da so bili uporabniki leta 2011 dosti bolj vešči glede uporabe
varnostnih prokolov, saj so poleg manjše uporabe odprtih omrežij tudi dosti manj uporabljali
protokol WEP. Razlika v odstotku uporabe protokola WEP je več kot štirikrat manjša v
primerjavi s svetom. Samo 9,0 odstotka takrat analiziranih omrežij je uporabljalo ta protokol.
V svetu je bil takrat protokol WEP po statističnih podatkih največ uporabljen, saj je zajemal
37,0 odstotka vseh brezžičnih omrežij.
0
50
100
150
200
250
300
[OP
EN
]
[WP
S O
NL
Y]
[WP
S]
[WE
P]
[WP
A-E
AP
-CC
MP
+T
KIP
]
[WP
A-P
SK
-CC
MP
]
[WP
A-P
SK
-CC
MP
+T
KIP
]
[WP
A-P
SK
-TK
IP]
[WP
A2-E
AP
-CC
MP
-
pre
auth
][W
PA
2-P
SK
-CC
MP
-
pre
auth
]
[WP
A2
-PS
K-C
CM
P]
[WP
A2
-PS
K-C
CM
P+
TK
IP-
pre
auth
]
[WP
A2
-PS
K-C
CM
P+
TK
IP]
[WP
A2
-PS
K-T
KIP
-pre
auth
]
[WP
A2
-PS
K-T
KIP
]
54
Prav tako je bila uporaba protokola WPA v svetu v primerjavi z Novim mestom najmanj
popularna. Protokol WPA je v svetu uporabljalo samo 7,6 odstotka brezžičnih omrežij, v
primerjavi z Novim mestom, kjer je bil ta protokol največ uporabljen in je zajemal 44,7 odstotka
vseh analiziranih omrežij. Se pravi, uporaba protokola WPA je bila v Novem mestu skoraj 6-
krat večja kot v svetu. Tudi uporaba protokola WPA2 je bila v Novem mestu skoraj trikrat večja
kot v svetu (Novo mesto 32,7 %, svet 11,5 %). Če primerjamo vse podatke leta 2011, lahko
sklepamo, da je bilo Novo mesto daleč nad povprečjem pri uporabi močnejših varnostnih
protokolov za brezžična omrežja.
Graf 5.14: Primerjava vrst zaščit brezžičnih omrežij z wigle podatki 2011
Vir: Kralj, lastna raziskava (2011); Wigle (2015)
V Grafu 5.15 sem dostopne točke razvrstil glede na delež zaščitenih in nezaščitenih omrežij.
Zaščitenih je 654 ali 84,9 odstotka, popolnoma nezaščitenih pa 116 ali 15,1 odstotka.
12,3 %
1,3 %
9,0 %
44,7 %
32,7 %
25,8 %
18,1 %
37,0 %
7,6 %
11,5 %
OPEN UNKNOWN WEP WPA WPA2
MOJA ANALIZA WIGLE
55
Graf 5.15: Delež ne/zaščitenih brezžičnih omrežij
Vir: Kralj, lastna raziskava (2011)
Analizirana brezžična omrežja sem ločil tudi glede na to, kakšno ime (SSID) uporabljajo.
Razvrstil sem jih v dve skupini, in sicer sem v prvo skupino razvrstil omrežja, ki uporabljajo
tovarniško ime dostopne točke, v drugo pa sem razvrstil dostopne točke z ostalimi imeni.
Na Grafu 5.16 lahko vidimo rezultat razvrstitve. Od skupnega števila 770 dostopnih točk
uporablja tovarniško ime dostopne točke (SSID) 219 ali 28,4 odstotka omrežij. Dostopnih točk
z ostalimi imeni je 551 ali 71,6 odstotka. V primerjavi s svetom je odstotek omrežij s tovarniško
nastavljenim imenom 3,7, za Novo mesto 2015 pa 15,8.
Graf 5.16: Tovarniška imena brezžičnih omrežij
Vir: Kralj, lastna raziskava (2011)
84,9 %
15,1 %
Zaščitena
Nezaščitena
71,6 %
28,4 %
OSTALO
z default SSID
56
5.3 Analiza za Ljubljano 2013
Leta 2013 je bila v Ljubljani izvedena popolnoma enaka analiza brezžičnih omrežij, kot sem jo
izvedel letos (2015). Podatki so bili prav tako zajeti s pomočjo wigle wifi wardriving aplikacije,
za potrebe diplomske naloge pa sem dobil vpogled vanje. Podatke sem tako kot v analizi 2015
uredil in določil enake kategorije za varnostne protokole brezžičnih omrežij. S pomočjo
pridobljenih GPS lokacij sem lahko izdelal spodnji zemljevid, ki prikazuje pot analize (glej
Slika 5.3).
Slika 5.3: Pot zaznavanja brezžičnih dostopnih točk
Vir: Luka Mali, osebna korespondenca (2015)
Zaznanih je bilo skupno 28409 brezžičnih omrežij. Izmed njih jih 10,9 odstotka oziroma 3098
ni uporabljalo nobene zaščite. Dostopne točke brez zaščite so uvrščene v OPEN kategorijo.
57
Delež WPS kategorije znaša 1,6 odstotka in predstavlja 462 brezžičnih omrežij. V to kategorijo
so zajete samo tiste dostopne točke, ki so imele omogočeno WPS funkcijo brez ostalih
varnostnih protokolov, kot so WEP, WPA ali WPA2. Odstotek je zelo podoben podatkom za
Novo mesto 2015.
Naslednja WEP kategorija zajema 2071 brezžičnih omrežij, kar je natanko 7,3 odstotka vseh.
Glede na prejšnja leta bi lahko rekli, da ta odstotek ni prevelik, saj je bila takrat uporaba
protokola WPA že množična. WPA kategorija, ki je hkrati tudi najbolj obsežna, je predstavljala
61,2 odstotka oziroma 17396 vseh analiziranih brezžičnih omrežij. Se pravi, da je več kot
polovica uporabnikov analiziranih brezžičnih omrežij že uporabljala protokol WPA, ki je veljal
za mnogo varnejšega od protokola WEP. Pri tem moram poudariti, da so bile v to kategorijo
zajete prav vse dostopne točke, ki so imele omogočen protokol WPA, ne glede na to, ali so
podpirale protokol WPA2.
Pri zadnji, WPA2 kategoriji pa so bile zajete vse dostopne točke s protokolom WPA2, brez
WPA podpore. WPA2 kategorija predstavlja 18,9 odstotka oziroma 5382 dostopnih točk.
Graf 5.17: Razdelitev brezžičnih omrežij glede na pet glavnih kategorij zaščite
Vir: Luka Mali, osebna korespondenca (2015)
Če podatke razvrstimo na malo drugačen, a bolj natančen način, se nekatere zgornje prikazane
kategorije podatkov zelo spremenijo. Pri razdelitvi podatkov na kategorije od šibke proti močni
10,9 %
1,6 %
7,3 %
61,2 %
18,9 %
OPEN
WPS ONLY
WEP + WPS
WPA + WPA2 + WPS
WPA2 ONLY + WPS
58
se najbolj spremenita kategoriji WPS in WPA. OPEN oziroma odprta omrežja ostanejo
nespremenjena (10,9 %).
Naslednja, WPS kategorija se s prejšnjega 1,6 odstotka poveča na 29,1 odstotka. Razlog za
takšno razliko je, ker so sedaj v WPS kategoriji zajete prav vse dostopne točke, ki so imele
omogočeno WPS funkcijo. Ne glede na to, ali dostopne točke uporabljajo protokol WEP, WPA
ali WPA2, spadajo v kategorijo WPS. Takšnih dostopnih točk je 8281. To predstavlja slabo
tretjino vseh analiziranih omrežij, kar je v primerjavi z Novim mestom približno enako.
WEP kategorija se ni veliko spremenila, saj smo izločili samo 255 dostopnih točk, ki so
uporabljale WEP z WPS funkcijo. Novi odstotek WEP kategorije, brez omogočene WPS
funkcije, znaša 6,5 odstotka in predstavlja 1854 brezžičnih omrežij.
Pri WPA kategoriji je sprememba odstotka večja, saj se je potem, ko smo izločili dostopne
točke z omogočeno WPS funkcijo, odstotek s prejšnjega 61,2 odstotka zmanjšal na 40
odstotkov. Iz prejšnjih 17396 dostopnih točk, ki so imele protokol WPA z WPS funkcijo, je
število padlo na 11375 dostopnih točk.
Pri naslednji WPA2 kategoriji razlika z izločenimi WPS dostopnimi točkami ni bila tako očitna,
saj se je odstotek z 18,9 spustil na 13,4 odstotka. Ta odstotek prikazuje najbolj varna zaznana
ljubljanska omrežja, in sicer je bilo teh omrežij nekaj več kot 3800. To so omrežja z najboljšim
in najmočnejšim varnostnim protokolom.
Graf 5.18: Razdelitev brezžičnih omrežij glede na najšibkejšo ranljivost zaščite
59
Vir: Luka Mali, osebna korespondenca (2015)
Različne uporabljene kombinacije protokolov, mehanizmov in šifriranj prikazuje Graf 5.19. Za
zajem vseh možnih kombinacij je bilo potrebnih 27 kategorij. Pri uporabi protokola WPA
izpostavimo dve najbolj in največkrat uporabljeni kombinaciji WPA-PSK-CCMP+TKIP ter
WPA-PSK-TKIP. Ti dve kombinaciji sta skoraj enaki z razliko, da prva podpira tudi novejši
AES CCMP mehanizem, ki pripada protokolu WPA2. Se pravi, obe kombinaciji uporabljata
ročno določeni PSK ključ in WPA TKIP mehanizem za šifriranje, prva kombinacija pa podpira
tudi AES CCMP šifriranje. Število dostopnih točk za prvo kombinacijo je 7200, pri drugi pa
7518.
Za protokol WPA2 sta bili največkrat uporabljeni kombinaciji WPA2-PSK-CCMP in WPA2-
PSK-CCMP+TKIP. Tudi ti dve kombinaciji sta zelo podobni in uporabljata ročno nastavljeni
PSK ključ in AES CCMP mehanizem za šifriranje. Razlika med njima je, da druga (WPA2-
PSK-CCMP+TKIP) kombinacija podpira tudi stari WPA TKIP mehanizem za šifriranje pri
avtentikaciji. Z uporabljeno kombinacijo WPA2-PSK-CCMP je 463 dostopnih točk, s
kombinacijo WPA2-PSK-CCMP+TKIP pa 6868, ki je tudi največkrat uporabljena pri uporabi
protokola WPA2.
Graf 5.19: Podrobni pregled vrste zaščit brezžičnih omrežij
10,9 %
29,1 %
6,5 %
40,0 %
13,4 % OPEN
WPS
WEP - NO WPS
WPA - NO WPS
WPA2 - NO WPS - NO
WPA
60
Vir: Luka Mali, osebna korespondenca (2015)
Izvedel sem tudi primerjavo glede na leto 2013 za Ljubljano in svet. Primerjavo prikazuje Graf
5.20. Modra barva so podatki za Ljubljano, oranžna pa wigle.net podatki za leto 2013. Po
rezultatih, ki jih prikazuje graf, lahko sklepamo, da so bili uporabniki brezžičnih omrežij v
Ljubljani leta 2013 dosti bolj osveščeni glede varnosti oziroma nevarnosti brezžičnih omrežij.
Delež odprtih omrežij je bil za več kot 10 odstotkov manjši v primerjavi s svetom. Znašal je 8,0
odstotka, v svetu pa je bilo takrat 18,5 odstotka odprtih omrežij. Tudi omrežij s protokolom
WEP je bilo mnogo manj, le 5,3 odstotka. V svetu je takrat protokol WEP uporabljalo 24,3
odstotka brezžičnih omrežij.
Večja je bila tudi uporaba protokola WPA, tega je leta 2013 v Ljubljani uporabljalo 44,7
odstotka omrežij. Svetovni podatki so prikazali 11,7 odstotka takšnih omrežij. Razlika pri
uporabi protokola WPA2 ni bila tako velika in je znašala 40,8 odstotka v Ljubljani in 31,1
odstotka v svetu. Se pravi, tudi uporaba najmočnejšega protokola WPA2 je bila leta 2013 v
Ljubljani za slabih 10 odstotkov višja kakor v svetu. S tem lahko ugotovimo, da je bila
osveščenost uporabnikov v Ljubljani leta 2013 nad svetovnim povprečjem.
Graf 5.20: Primerjava vrst zaščit brezžičnih omrežij z wigle podatki 2013
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
OP
EN
WP
S O
NL
Y
[WP
S]
WE
P
[WP
A-?
]
[WP
A-N
on
e-N
ON
E]
[WP
A-E
AP
-CC
MP
]
[WP
A-E
AP
-CC
MP
+T
KIP
-pre
auth
]
[WP
A-E
AP
-CC
MP
+T
KIP
]
[WP
A-E
AP
-TK
IP]
[WP
A-E
AP
+P
SK
-CC
MP
]
[WP
A-P
SK
-CC
MP
]
[WP
A-P
SK
-CC
MP
+T
KIP
]
[WP
A-P
SK
-TK
IP]
[WP
A2
-?]
[WP
A2-E
AP
-NO
NE
]
[WP
A2-E
AP
-CC
MP
-pre
auth
]
[WP
A2
-EA
P-C
CM
P]
[WP
A2-E
AP
-TK
IP]
[WP
A2-
EA
P-C
CM
P+
TK
IP]
[WP
A2
-EA
P-T
KIP
-pre
auth
]
[WP
A2
-PS
K-C
CM
P-p
reau
th]
[WP
A2-P
SK
-CC
MP
]
[WP
A2
-PS
K-C
CM
P+
TK
IP-p
reau
th]
[WP
A2
-PS
K-C
CM
P+
TK
IP]
[WP
A2-P
SK
-TK
IP-p
reau
th]
[WP
A2
-PS
K-T
KIP
]
61
Vir: Luka Mali, osebna korespondenca (2015); Wigle (2015)
Poleg prikazanih podatkov o varnosti uporabe brezžičnih protokolov sem izvedel tudi analizo
o tem, koliko analiziranih brezžičnih omrežij je v Ljubljani leta 2013 uporabljalo tovarniško
nastavljeno SSID ime omrežja. Analizo omrežij sem izvedel z enakim seznamom imen kot pri
novomeških analizah za 2011 in 2015. Rezultat analize je prikazal, da več kot 22 odstotkov od
28409 analiziranih omrežij uporablja tovarniško ali najbolj pogosto nastavljeno ime omrežja.
Dostopnih točk s takim imenom je bilo nekaj več kot 6340.
Graf 5.21: Tovarniška imena brezžičnih omrežij
Vir: Luka Mali, osebna korespondenca (2015)
8,0 %
1,2 %
5,3 %
44,7 %
40,8 %
18,5 %
14,5 %
24,3 %
11,7 %
31,1 %
OPEN UNKNOWN WEP WPA WPA2
ANALIZA LJUBLJANA WIGLE
77,7 %
22,3 %
OSTALA
z default SSID
62
5.4 Povzetek in primerjava analize
Ker je ena ključnih nalog moje analize sprejeti ali zavrniti zastavljene hipoteze, sem v ta namen
izdelal grafe, ki temeljijo na vseh pridobljenih in predstavljenih podatkih. Vsako ugotovitev
sem podkrepil z grafom in na podlagi teh podatkov le-to sprejel ali zavrnil.
Hipoteza 1: Osveščenost uporabnikov v Novem mestu o varnosti brezžičnih omrežij je večja
kot leta 2011.
Iz spodnjih grafov je razvidno, da je pri dveh različnih delitvah osveščenost uporabnikov pri
izbiri varnostnih protokolov brezžičnih omrežij napredovala. Danes je bilo odkritih manj
odprtih omrežij kot leta 2011, prav tako je bilo veliko manj omrežij, ki so uporabljala protokol
WEP. Uporaba protokola WPA se od leta 2011 do danes ni veliko spremenila, je pa zato
napredoval odstotek uporabe najbolj varnega protokola WPA2. V prid analizi Novega mesta
2011 šteje samo kategorija WPS, in sicer je pri tej odstotek uporabnikov WPS funkcije padel.
WPS funkcijo danes uporablja mnogo več uporabnikov brezžičnih omrežij. Ne glede na to
lahko rečem, da je osveščenost uporabnikov o varnosti brezžičnih omrežij v Novem mestu
napredovala. S tem tudi potrdim zastavljeno hipotezo.
Graf 5.22: Primerjava vrst zaščit brezžičnih omrežij za Novo mesto med letoma 2011 in 2015
Vir: Kralj, lastna raziskava (2015)
15,1 %
1,6 %
11,0 %
54,7 %
17,7 %
9,0 %
1,4 %2,6 %
54,8 %
32,2 %
OPEN WPS ONLY WEP + WPS WPA + WPA2 +
WPS
WPA2 ONLY +
WPS
NM2011 NM 2015
63
Graf 5.23: Primerjava vrst zaščit brezžičnih omrežij od šibkih proti močnim za Novo mesto
med letoma 2011 in 2015
Vir: Kralj, lastna raziskava (2015)
Hipoteza 2: Število brezžičnih omrežij v Novem mestu je večje kot leta 2011.
Ker se je uporaba pametnih mobilnih naprav iz leta 2011 do danes močno povečala, se je s tem
povečala tudi uporaba samih brezžičnih omrežij. Število uporabnikov pametnih mobilnih
naprav se je od leta 2012 do 2014 povečalo za več kot enkrat (Emarketer, 2014). Uporabniki
želijo biti na vsakem koraku povezani na internet. Na porast uporabe števila brezžičnih omrežij
je po mojem mnenju vplivala tudi cenovna dostopnost do brezžičnih usmerjevalnikov
(brezžični usmerjevalnik se dandanes lahko kupi za dobrih 20 evrov). Čeprav sem letos (2015)
zajel večje področje kot leta 2011, lahko na podlagi pridobljenih podatkov postavljeno hipotezo
brez pomislekov sprejmem.
Hipoteza 3: Osveščenost uporabnikov v Novem mestu je enaka kot v Ljubljani 2013.
Zastavljena hipoteza se je izkazala za napačno. Iz grafov je razvidno, da uporabniki v Novem
mestu niso enako osveščeni kot uporabniki v Ljubljani, čeprav so podatki za Ljubljano stari dve
leti. Glede na razliko dveh let bi lahko sklepali, da bi dobili za Ljubljano danes še boljše
15,1 %17,7 %
10,0 %
44,9 %
12,3 %
9,0 %
31,3 %
2,4 %
35,9 %
21,4 %
OPEN WPS WEP - NO WPS WPA - NO WPS WPA2 - NO WPS -
NO WPA
NM2011 NM2015
64
rezultate, kot so bili sicer že leta 2013. Ne glede na vrsto delitve varnostnih protokolov
brezžičnih omrežij je iz obeh grafov razvidno, da je odstotek najbolj nevarnih protokolov
(OPEN, WPS, WEP) v Ljubljani v večini višji kot v Novem mestu. Prav tako je uporaba najbolj
varnega in zanesljivega protokola WPA2 v Novem mestu večja kot v Ljubljani. Če
predpostavljam, da bi danes pridobili v Ljubljani malo boljše rezultate, bi lahko hipotezo
sprejel. Ker pa primerjam današnje podatke Novega mesta in podatke za Ljubljano iz leta 2013,
hipotezo zavračam. Uporabniki v Novem mestu so v primerjavi z Ljubljano leta 2013 bolj
osveščeni o uporabi varnostnih brezžičnih protokolov.
65
Graf 5.24: Primerjava vrst zaščit brezžičnih omrežij med Ljubljano (2013) in Novim mestom
(2015)
Vir: Kralj, lastna raziskava (2015)
Graf 5.25: Primerjava vrst zaščit brezžičnih omrežij od šibke proti močni med Ljubljano
(2013) in Novim mestom (2015)
Vir: Kralj, lastna raziskava (2015)
10,9 %
1,6 %
7,3 %
61,2 %
18,9 %
9,0 %
1,4 % 2,6 %
54,8 %
32,2 %
OPEN WPS ONLY WEP + WPS WPA + WPA2 +
WPS
WPA2 ONLY +
WPS
LJ 2013 NM 2015
10,9 %
29,1 %
6,5 %
40,0 %
13,4 %
9,0 %
31,3 %
2,4 %
35,9 %
21,4 %
OPEN WPS WEP - NO WPS WPA - NO WPS WPA2 - NO WPS -
NO WPA
LJ2013 NM2015
66
Hipoteza 4: Zaščita brezžičnih omrežij v Novem mestu je boljša kot v svetu.
»Ker Slovenija in s tem tudi Novo mesto ni slabo razvito na področju tehnologije, menim, da
je zaščita brezžičnih omrežij v Novem mestu boljša kot v svetu.« Citirana trditev se je izkazala
za pravilno, saj je glede na razvrstitev podatkov in primerjavo le-teh s podatki s spletne strani
wigle.net razvidno, da je odstotek odprtih omrežij in protokola WEP nižji kot v svetu. Odprtih
omrežij je v Sloveniji 6,2 odstotka, v svetu pa 8,9 odstotka. Omrežij, ki uporabljajo protokol
WEP, je v Sloveniji oziroma Novem mestu za več kot 10 odstotkov manj kot v svetu. Teh
omrežij je v Novem mestu 1,8 odstotka, v svetu pa 12,9 odstotkov. Prav tako trditev potrjujeta
tudi kategoriji WPA in WPA2. V Novem mestu je uporaba protokola WPA skoraj štirikrat večja
kot v svetu. Tudi uporaba protokola WPA2 je za nekaj odstotkov večja od svetovnega povprečja
in znaša 53,2 odstotka.
Glede na vse predstavljene podatke hipotezo sprejmem in potrjujem, da je zaščita brezžičnih
omrežij v Novem mestu boljša kot v svetu.
Graf 5.26: Primerjava vrst zaščit brezžičnih omrežij med Novim mestom in svetom
Vir: Kralj, lastna raziskava (2015)
8,9 %
18,6 %
12,9 %9,5 %
50,1 %
6,2 %
1,0 % 1,8 %
37,8 %
53,2 %
OPEN UNKNOWN WEP WPA WPA2
WIGLE NM2015
67
6. ZAKLJUČEK
Ključna naloga analize v moji diplomski nalogi je bila sprejeti ali zavrniti zastavljene hipoteze,
ki sem jih določil v uvodu. Za dobro izvedeno analizo je bilo najprej potrebno podrobno preučiti
literaturo na temo varnosti brezžičnih omrežij. S pridobljenimi podatki analize sem izdelal
tabele in grafe, ki so mi pomagali pri sprejetju oziroma zavrnitvi zastavljenih hipotez. Skozi
prebrano literaturo sem spoznal, kako pomembna je varnost pri uporabi brezžičnih omrežij, saj
lahko slaba varnost privede do kraje različnih podatkov.
Rezultati analize so pokazali, da je osveščenost uporabnikov v Novem mestu o varnosti
brezžičnih omrežij od leta 2011 do danes napredovala. V primerjavi z letom 2011 je bilo leta
2015 odkritih mnogo manj odprtih brezžičnih omrežij. Prav tako je bil zaznan napredek pri
uporabi protokola WPA2. To je zelo dober indikator, da osveščenost uporabnikov o varnosti
brezžičnih omrežij v Novem mestu napreduje.
Ker se je uporaba pametnih mobilnih naprav iz leta 2011 do danes močno povečala, se je s tem
povečala tudi uporaba samih brezžičnih omrežij. Ta trditev se je skozi analizo izkazala za
pravilno, saj je število brezžičnih omrežij v Novem mestu od leta 2011 do danes močno naraslo.
Iz takrat ugotovljenih 770 omrežij je število poskočilo na današnjih 3185.
Prav tako so rezultati analize pokazali, da se je hipoteza “osveščenost uporabnikov v Novem
mestu je enaka kot v Ljubljani 2013” izkazala za napačno. Osveščenost uporabnikov v Novem
mestu ni enaka kot v Ljubljani leta 2013. Odstotek uporabe najbolj nevarnih (OPEN, WPS,
WEP) brezžičnih varnostnih protokolov je v Ljubljani višji kot v Novem mestu. Izkazalo se je
tudi, da je uporaba najbolj varnega in zanesljivega protokola WPA2 v Novem mestu večja kot
v Ljubljani. Zaradi teh ugotovitev sem hipotezo zavrnil.
Zadnja hipoteza, ki se glasi “zaščita brezžičnih omrežij v Novem mestu je boljša kot v svetu”,
se je izkazala za pravilno. S pomočjo pridobljenih primerjav lahko potrdim, da je zaščita
brezžičnih omrežij v Novem mestu boljša kot v svetu, saj je odstotek najbolj nevarnih
protokolov veliko nižji kot v svetu.
68
Skozi celotno diplomsko nalogo sem pridobil celosten vpogled v varnost brezžičnih omrežij.
Izvedba analize je bila uspešna, saj sem z njo pridobil dovolj podatkov za potrditev hipotez.
69
7. LITERATURA IN VIRI
1. ABRAMSON, NORMAN (1985) Development of the ALOHANET. IEEE Transactions
on information theory. Dostopno prek:
http://www.eletrica.ufpr.br/mehl/te155/abramson-ALOHANET.pdf (20. 8.2015).
2. AIRCRACK. Dostopno prek: http://www.aircrack-ng.org/ (31. 8. 2015).
3. ALBREHT, KLEMEN, SUŠNIK, RUDOLF, SODNIK, JAKA in TOMAŽIČ, SAŠO
(2003) WLAN – brezžična lokalna omrežja. Dostopno prek: www.lkn.fe.uni-
lj.si/gradiva/KK/.../WLAN_Albreht_Susnik_Sodnik.pdf (20.8.2015).
4. BEAL, VANGIE (2014) Types of internet connections. Dostopno prek:
http://www.webopedia.com/quick_ref/internet_connection_types.asp (5. 9. 2015).
5. BRAIN, MARSHALL, WILSON V., TRACY IN JOHNSON, BERNADETTE (2001)
How WiFi Works. Dostopno prek: http://computer.howstuffworks.com/wireless-
network.htm (31. 7. 2015).
6. BÜTTRICH, SEBASTIAN (2006) Basic Wireless Infrastructure and Topologies.
Dostopno prek:
http://www.itrainonline.org/itrainonline/mmtk/wireless_en/04_Infrastructure_Topology/
04_en_mmtk_wireless_basic-infrastructure-topology_slides.pdf (28. 8. 2015).
7. CARROLL, TRAVIS (2012) Wireless Networking and Security Standards.
Dostopno prek: http://it.ucsf.edu/printpdf/1089 (31. 7. 2015).
8. CISCO SYSTEMS (2003) Wireless Radio Technology. Dostopno prek:
http://www.google.si/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=11&ved=0
CF4QFjAKahUKEwijk7nS9v_GAhWBbxQKHRa4CQs&url=http%3A%2F%2Fwww.h
h.se%2Fdownload%2F18.70cf2e49129168da015800033877%2Ffwl&ei=aY-
4VeO6KYHfUZbwplg&usg=AFQjCNG1G4PuxmCzhgbP21jCRWUZMAS0AQ&bvm
=bv.98717601,d.d24 (31. 7. 2015).
9. CISCO SYSTEMS INC. Cisco EAP-FAST. Dostopno prek:
http://www.cisco.com/c/en/us/products/collateral/wireless/aironet-1300-series/
prod_qas09186a00802030dc.html (3. 9. 2015).
10. CIV (2012) Teden varnosti brezžičnih omrežij. Dostopno prek: http://web-center.si/
clanki/teden_varnosti_brezzicnih_omrezij.pdf (3. 9. 2015).
70
11. DAKIĆ, LANA (2009) Previdno pri javno dostopnem internetu. Dostopno prek:
http://www.finance.si/242520/Previdno-pri-javno-dostopnem-
internetu?cookietime=1440945991 (1. 9. 2015).
12. EDUROAM. Dostopno prek: https://www.eduroam.org (2. 9. 2015).
13. EMARKETER (2014) Worldwide Smartphone Usage to Grow 25% in 2014. Dostopno
prek: http://www.emarketer.com/Article/Worldwide-Smartphone-Usage-Grow-25-
2014/1010920 (18. 9. 2015).
14. GAST, MATTHEW S. (2005) 802.11 Wireless Networks: The Definitive Guide.
London: O´Reilly Media, Inc. Dostopno prek:
https://books.google.si/books?id=lX3WatnVUe4C&printsec=frontcover&dq=wireless&
hl=sl&sa=X&sqi=2&redir_esc=y#v=onepage&q=wireless&f=false (20. 8. 2015).
15. GLEICH, DUŠAN in ČUČEJ, ŽARKO (2013) Varnost informacij in omrežij. Praga:
Fakulteta za elektrotehniko. Dostopno prek: http://improvet.cvut.cz/project/download/
C2SI/Varnost_informacij_in_omrezij.pdf (7. 8. 2015).
16. HENRY, JEROME (2012) CCNA Wireless (640-722 IUWNE) Quick Reference.
Indianapolis: Cisco Press. Dostopno prek: http://datis-arad.com/network/PDF/Cisco/
CCNA%20Wireless.640-722.IUWNE.Quick.Reference.Apr.2012.pdf (31. 8. 2015).
17. HOFFMAN, CHRIS (2013) Wi-FI Protected Setup (WPS) is Insecure: Here’s Why You
Should Disable It. Dostopno prek: http://www.howtogeek.com/176124/wi-fi-protected-
setup-wps-is-insecure-heres-why-you-should-disable-it/ (17. 9. 2015).
18. IEEE. History of IEEE. Dostopno prek:
https://www.ieee.org/about/ieee_history.html?WT.mc_id=lp_ab_hoi (1. 9. 2015).
19. JACOBS, DAVID B. (2008) Wireless security protocols - How WPA and WPA2 work.
Dostopno prek: http://searchnetworking.techtarget.com/tip/Wireless-security-protocols-
How-WPA-and-WPA2-work (3. 9. 2015).
20. LANDER, STEVE. Disadvantages or Problems for Implementing Wi-Fi Technology.
Dostopno prek: http://smallbusiness.chron.com/disadvantages-problems-implementing-
wifi-technology-61914.html (25. 8. 2015).
21. MALI, LUKA. Osebna korespondenca (2015).
22. MIN-KYU, CHOI, ROSSLIN JOHN, ROBLES, CHANG-HWA, HONG in TAI-
HOON, KIM (2008) Wireless Network Security: Vulnerabilities, Threats and
Countermeasures. International Journal of Multimedia and Ubiquitous Engineering.
Dostopno prek: http://www.sersc.org/journals/IJMUE/vol3_no3_2008/8.pdf (23. 8.
2015).
71
23. MONITOR (2013) Brezžični Wi-Fi v Ljubljani živi. Dostopno prek:
http://www.monitor.si/novica/brezzicni-wi-fi-v-ljubljani-zivi/141354/?xURL=301 (28.
8. 2015).
24. PAPEŽ, ROK (2007) Zavarujte svoje brezžično omrežje. Dostopno prek:
http://www.kiblix.org/2007/pdf/rok_papez.pdf (20. 7. 2015).
25. ROKOU, TATIANA (2012) Free WiFi tops list of favorite hotel amenities. Dostopno
prek: http://www.traveldailynews.com/news/article/52224/free-wifi-tops-list-of (5. 9.
2015).
26. ROUSE, MARGARET (2007) Public key certificate definition. Dostopno prek:
http://searchsecurity.techtarget.com/definition/public-key-certificate
27. SHANKDHAR, PAVITRA (2015) 13 popular wireless hacking tools. Dostopno prek:
http://resources.infosecinstitute.com/13-popular-wireless-hacking-tools/ (5. 9. 2015).
28. STROSAR, EDI (2007) (Ne)varnost v javnih omrežjih WLAN. Dostopno prek:
http://www.monitor.si/clanek/ne-varnost-v-javnih-omrezjih-wlan/122823/?xURL=301
(30. 7. 2015).
29. ŠEPETAVC, PETER (2005) Omrežje brez žic. Dostopno prek:
http://www.monitor.si/clanek/omrezje-brez-zic/121845/?xURL=301 (7. 8. 2015).
30. THE GOVERNMENT OF THE HONG KONG SPECIAL ADMINISTRATIVE
REGION (2010) Wireless networking security. Dostopno prek:
http://www.infosec.gov.hk/english/technical/files/wireless.pdf (1. 9. 2015).
31. CISCO. What is a wireless network?: The Basics. Dostopno prek:
http://www.cisco.com/cisco/web/solutions/small_business/resource_center/articles/work
_from_anywhere/what_is_a_wireless_network/index.html (28. 7. 2015).
32. WIGLE. Wireless network mapping. Dostopno prek: https://wigle.net/ (14. 9. 2015).
33. VICOMSOFT. Wireless networking. Dostopno prek:
http://www.vicomsoft.com/learning-center/wireless-networking (29. 8. 2015).
34. HOME NETWORK HELP. Wireless standard. Dostopno prek: http://www.home-
network-help.com/802-11.html (29. 8. 2015).
35. WiFi Tracker. Dostopno prek: https://play.google.com/store/apps/
details?id=org.prowl.wifiscanner&hl=sl (10. 9. 2015).