Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
802.11.
Bezpieczestwo
Autorzy: Bruce Potter, Bob Fleck
Tumaczenie: Marcin Jdrysiak
ISBN: 83-7361-412-5
Tytu oryginau: 802.11 Security
Format: B5, stron: 215
Sieci bezprzewodowe otwieraj nowe moliwoci dla wszystkich uytkownikw
i odgrywaj coraz wiksz rol w naszym yciu. Najpopularniejszy protok sieci WLAN
802.11 zmienia cakowicie sposb postrzegania tradycyjnych sieci lokalnych.
Sieci bezprzewodowe stanowi powane wyzwanie zarwno dla uytkownikw,
jak i administratorw. Brak zabezpiecze fizycznych, dostp do darmowych narzdzi,
ktre mona wykorzysta do przeprowadzenia ataku, a take moliwo monitorowania
ruchu sieciowego bez ryzyka wykrycia przez administratora sprawiaj, e sieci
bezprzewodowe stanowi atwy cel ataku dla hakerw. Oznacza to konieczno
dokadnego zabezpieczenia kadego elementu sieci w celu zapewnienia ochrony danych.
W niniejszej ksice znajduj si podstawowe informacje na temat bezpieczestwa sieci
bezprzewodowych. Poznasz sposb dziaania sieci w standardzie 802.11 oraz ich sabe
punkty. Bardzo wan kwesti jest zrozumienie typowych metod wama oraz
najwaniejszych zagroe zwizanych z wdraaniem sieci bezprzewodowych.
Ksika 802.11. Bezpieczestwo zawiera praktyczne rozwizania dla wszystkich
podstawowych komponentw sieci bezprzewodowych. Ksika prezentuje te najlepsze
aplikacje do zabezpieczania rnych systemw operacyjnych, omwiono uytkowanie
sieci bezprzewodowych pod kontrol Linuksa, FreeBSD, Mac OS X i Windows
W ksice omawiane s rwnie bardziej zaawansowane tematy, takie jak:
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treci
Wstp ................................................................................................................................7
Spis treci
Spis treci
Spis treci
Dodatki.....................................................................................................201
Skorowidz ....................................................................................................................203
Zabezpieczanie
systemu Linux
Komputery pracujce w sieci bezprzewodowej s naraone na ataki wszystkich znajdujcych si w pobliu uytkownikw. Dzieje si tak, gdy w przeciwiestwie do sieci
przewodowych nie istniej adne fizyczne ograniczenia dostpu, co znacznie zwiksza
zagroenie hosta. Linux jest potnym i zoonym systemem operacyjnym. Prawidowa
konfiguracja tego systemu pozwoli zabezpieczy komputer przed wieloma atakami hakerw. Naley jednak pamita, e le skonfigurowany system linuksowy moe sta si
potn broni w rku wamywacza.
72
Konfiguracja jdra
Aby moliwe byo bezpieczne korzystanie z sieci bezprzewodowej, naley zapewni
prawidow konfiguracj hosta. Podstaw bezpieczestwa kadego komputera jest stabilna i dobrze zaplanowana konfiguracja jdra. Wprowadzane zabezpieczenia jdra musz by zgodne z zasad najmniejszego przywileju. Zasada ta mwi, e uytkownik lub
system powinny otrzyma tylko te przywileje i uprawnienia, ktre s niezbdne do wykonywania okrelonych zada. Oznacza to konieczno usunicia z jdra wszystkich
niepotrzebnych opcji konfiguracji; na przykad, jeeli w komputerze nie ma adnych
urzdze SCSI, naley usun z konfiguracji jdra wszystkie sterowniki SCSI.
Konfiguracja jdra
73
CONFIG_MODULES=y
CONFIG_CARDBUS=y
Kolejnym krokiem jest wczenie obsugi sieci bezprzewodowych (funkcja ta jest znana
rwnie jako non-hamradio):
CONFIG_NET_RADIO=y
74
dodatkowych zmian dla posiadanego urzdzenia. Ostatnim krokiem bdzie zrestartowanie komputera i sprawdzenie, czy karta jest rozpoznawana przez hosta.
Firewall Netfilter zapewnia wiele opcji konfiguracji. Niektre z nich s wymagane, aczkolwiek wikszo z nich mona doda w zalenoci od potrzeb:
CONFIG_IP_NF_IPTABLES
Opcja ta zapewnia podstawow struktur jdra, jaka jest wykorzystywana przez
program iptables do zarzdzania firewallem. Uycie tej opcji jest wymagane.
CONFIG_IP_NF_FILTER
Dziki tej opcji firewall moe filtrowa wszystkie pakiety, ktre host prbuje wysa
lub odebra. Uycie tej opcji jest wymagane.
CONFIG_IP_NF_MATCH_MAC
Uycie tej opcji sprawia, e firewall dopasowuje pakiety na podstawie rdowego
i docelowego adresu MAC. Funkcja ta bdzie bardzo przydatna w sieci
bezprzewodowej, gdzie bardzo atwe jest podszywanie si pod inne adresy IP.
CONFIG_IP_NF_MATCH_STATE
Parametr ten przeksztaca Netfilter w firewall z kontrol stanu (ang. stateful firewall),
ktry moe ledzi wszystkie aktywne i poprawne poczenia. Po przesaniu
Konfiguracja jdra
75
Uycie tej opcji nie jest wymagane w komputerze, ktry suy wycznie jako stacja
robocza i nie jest wykorzystywany jako serwer. Jeeli jednak uruchomiono
jakiekolwiek usugi sieciowe, naley wczy obsug SYN Cookies.
76
CONFIG_PACKET=y
Ta opcja konfiguracji umoliwia przechwytywanie pakietw pierwotnych
z interfejsu. W pewnym sensie jest wic to odpowiednik opcji BPF w jdrze FreeBSD.
Uytkownik root moe uy tej funkcji do nasuchu ramek skierowanych do innych
komputerw sieci. Wczenie tej opcji jest wymagane do prawidowego dziaania
niektrych programw narzdziowych, takich jak tcpdump i arpwatch.
Konfiguracja startowa
Bezprzewodowe karty sieciowe naley zainicjalizowa podczas startu systemu, podajc
waciwe informacje. Wszystkie te dane s zapisywane w pliku /etc/pcmcia/wireless.opt.
Plik doczony do danej dystrybucji systemu moe zawiera wpisy dla rnych modeli
kart. Cho moliwo wybrania odmiennych ustawie sieciowych dla rnych kart moe by przydatna, zwykle nie jest potrzebna. Wikszo uytkownikw woli stosowa
identyczne ustawienia sieciowe niezalenie od uywanego urzdzenia. Poniej przedstawiono szablon dla informacji w pliku wireless.opt:
case "$ADDRESS" in
*,*,*,*)
# INFO - nazwa opisujaca to polaczenie
INFO="Siec bezprzewodowa"
ESSID - Nazwa sieci ESSID, z ktora nastapi polaczenie
ESSID="Przyklad"
# MODE - tryb dzialania. Typowe wartosci to Managed dla powiazan
# z punktem dostepowym i ad hoc dla polaczen z siecia iBSS.
MODE="Managed"
# RATE - szybkosc danych polaczenia. Wartosc auto pozwala karcie
# na automatyczne wybranie szybkosci w zaleznosci od warunkow.
RATE="auto"
# KEY - klucz WEP. Klucze szesnastkowe sa podawane w postaci
# 0123-4567-89. Klucze ASCII sa poprzedzone litera s,
# na przyklad s:secrt
KEY="s:secrt"
;;
esac
Domylny plik wireless.opt zawiera rwnie dodatkowe opcje, ktre mona skonfigurowa w zalenoci od potrzeb. Wszystkie wartoci ustawione w tym pliku s przekazywane do programu iwconfig w celu konfiguracji karty. Wicej informacji na temat tego
narzdzia mona znale w podrozdziale Konfiguracja karty.
Domylne pliki startowe powoduj automatyczne wczenie interfejsu i ustawienie
niezbdnych opcji sieciowych. Interfejs jest zwykle skonfigurowany w taki sposb, aby
adres IP by przydzielany przez DHCP. Aby skonfigurowa statyczny adres IP, naley
dokona edycji pliku /etc/sysconfig/network-scripts/ifcfg-[urzdzenie]. Poniej przedstawiono parametry urzdzenia ifcfg-eth0 dla statycznego adresu IP:
DEVICE=eth0
IPADDR=192.168.0.100
NETMASK=255.255.255.0
NETWORK=192.168.0.0
Konfiguracja jdra
77
BROADCAST=192.168.0.255
GATEWAY=192.168.0.1
ONBOOT=yes
Jeli klient wymaga DHCP do uzyskania adresu IP, naley uy nastpujcego zestawu
opcji:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=DHCP
78
channel kana
Jest to kana sucy do komunikacji z punktem dostpowym. Specyfikacja PHY
w standardzie 802.11b okrela kanay w pamie 2,4 GHz, jakie mog by uywane
przez urzdzenia radiowe. W Stanach Zjednoczonych moliwe jest uycie 11
kanaw, podczas gdy w Europie a 14 kanaw. Aby komunikacja pomidzy
klientem a punktem dostpowym bya moliwa, konieczne jest okrelenie tego
samego kanau dla obu urzdze.
mode tryb
Parametr ten okrela typ sieci, z jak bdzie si czy klient. Dostpne wartoci
obejmuj managed dla powiza z punktami dostpowymi oraz ad hoc dla
powiza tworzonych w trybie IBSS.
ap adres_mac
Jest to adres MAC wybranego punktu dostpowego. Poprzez okrelenie tego
parametru klient bdzie czy si tylko z jednym punktem dostpowym. Pozwoli
to znacznie zminimalizowa ryzyko zwizane z obecnoci wrogich punktw
dostpowych, ktre prbuj podszywa si pod identyfikatory SSID i NWID.
Warto tego parametru jest podawana w formie 00:08:20:4e:5e:1f.
Uycie parametru ap nie jest wymagane.
key [klucz_wep] [indeks] [tryb]
Ten znacznik suy do ustawiania wszystkich opcji konfiguracji WEP. Klucz WEP
mona podawa zarwno szesnastkowo (na przykad 0123-4567-89), jak
i w postaci acucha ASCII poprzedzonego znakami s: (na przykad s:secrt).
Dziki indeksom w zakresie od 0 do 3 moliwe jest wprowadzenie i uycie czterech
kluczy WEP. Ostatnia opcja pozwala na ustawienia trybu powizania, ktry decyduje
o sposobie obsugi przez klienta pakietw WEP i innych. Wartoci on i off wyczaj
zabezpieczenia WEP, warto open pozwala karcie sieciowej na zestawianie pocze
w zalenoci od obecnoci punktw dostpowych, natomiast warto restricted
wymusza tworzenie powiza tylko z zabezpieczeniami WEP.
Nie jest to pena lista znacznikw, jakie mona przekaza do programu iwconfig. Pozostae opcje konfiguruj ustawienia oszczdzania energii, czuo oraz metody identyfikacji klienta. Aby uzyska informacje o wszystkich dostpnych parametrach, naley wpisa
polecenie man iwconfig.
Aby zestawi poczenie z zamknit sieci Ethernet z kluczem WEP secrt, naley
wprowadzi ponisze polecenie, ktre pozwoli skonfigurowa to powizanie:
iwconfig eth0 essid Przyklad key s:secrt restricted
Program iwconfig moe by take uyty do zbadania stanu bezprzewodowej karty sieciowej. W takim przypadku jako jedyny parametr naley przekaza nazw danego
interfejsu:
Konfiguracja jdra
79
Program iwconfig wywietla klucz WEP, poniewa zosta uruchomiony przez uytkownika root. Klucz szyfrowania nie bdzie dostpny, jeeli program zostanie wywoany
przez uytkownika z niszymi uprawnieniami.
Po skonfigurowaniu informacji dotyczcych sieci bezprzewodowej naley w normalny
sposb wprowadzi informacje o ustawieniach IP. Suy do tego narzdzie ifconfig.
W systemie FreeBSD moliwe byo skonfigurowanie wszystkich parametrw sieci
i ustawie IP za pomoc pojedynczego programu. Linux wymaga jednak w tym samym
celu uycia dwch oddzielnych narzdzi.
80
|\
retry
0
misc|\ beacon
0 \
0
Konfiguracja firewalla
Konfiguracja firewalla dla klienta bezprzewodowego jest relatywnie prosta. Na wikszoci stacji roboczych nie s uruchamiane adne usugi sieciowe, takie jak serwery
pocztowe i WWW. Wszystkie nowe poczenia powinny wic wychodzi od klienta,
a przychodzce dania poczenia nie powinny by obsugiwane. Jeeli jednak na stacji
roboczej uruchomiono jakie usugi sieciowe, naley zmodyfikowa odpowiednio konfiguracj firewalla.
Firewall Netfilter, jaki stanowi cz systemu Linux 2.4, jest zarzdzany poprzez program iptables. Netfilter wykorzystuje do przetwarzania wszystkich pakietw zestaw regu firewalla nazywanych acuchami (ang. chains). Dostpne s trzy rne acuchy:
INPUT
Pakiety przeznaczone dla danego hosta s obsugiwane przez acuch INPUT. Jeeli
w hocie uruchomiono, na przykad, serwer WWW, wszystkie pakiety przeznaczone
dla portu 80 publicznego adresu IP hosta bd przetwarzane przez acuch INPUT.
OUTPUT
acuch OUTPUT przetwarza wszystkie pakiety wygenerowane przez danego hosta
dla innego hosta. danie strony internetowej wysane ze stacji roboczej do zdalnego
serwera WWW zostanie obsuone wanie przez acuch wyjciowych hosta.
81
FORWARD
acuch FORWARD przetwarza pakiety, ktre pochodz z nielokalnego hosta i s
skierowane do innego nielokalnego hosta w sieci. Jest to typowe dziaanie firewalla,
ktry chroni ca sie lokaln ruch sieciowy przechodzi przez danego hosta, cho
nie jest przeznaczony dla komputera, w ktrym uruchomiono firewall.
Aby moliwe byo zarzdzanie firewallem, naley utworzy skrypt powoki, ktry bdzie wywoywa waciwe polecenia iptables w celu zaimplementowania danych regu.
Poniej przedstawiono prosty przykad konfiguracji firewalla dla klienta bezprzewodowego, ktry wykorzystuje opcje kontroli stanu zapewniane przez Netfilter. Naley pamita o doczeniu do firewalla waciwych moduw, ktre opisano w podrozdziale
Konfiguracja jdra z obsug sieci bezprzewodowych we wczeniejszej czci tego
rozdziau. Aby uzyska wicej informacji na temat programu iptables i firewalla Netfilter,
naley przej do rozdziau 11., odwiedzi stron http://www.netfilter.org/ lub wywietli
stron pomocy iptables.
#!/bin/sh
# Prosta konfiguracja rc.firewall dla klienta bezprzewodowego
# Ustawienie zmiennych
IPTABLES=/sbin/iptables
# Oproznienie wszystkich lancuchow, aby zapewnic start od zera
$IPTABLES -flush
# Lancuchy INPUT i FORWARD zostana przeniesione do wlasnego
# lancucha "client"
# Utworzenie lancucha client
$IPTABLES -N client
# Dopuszczenie ustanowionego ruchu
$IPTABLES -A client -m state --state ESTABLISHED,RELATED -j ACCEPT
# Zaakceptowanie wszystkich polaczen, ktore nie przychodza
# do glownego interfejsu Ethernet (interfejs bezprzewodowy)
$IPTABLES -A client -m state -state NEW 01 ! eth0 -j ACCEPT
# Odrzucenie pozostalego ruchu
$IPTABLES -A client -j DROP
# Skok lancuchow INPUT i FORWARD do lancucha client
$IPTABLES -A INPUT -j client
$IPTABLES -A FORWARD -j client
# Dopuszczenie calego ruchu wychodzacego
$IPTABLES -A OUTPUT -j ACCEPT
Powyszy kod naley zapisa w pliku wykonywalnym o nazwie /etc/init.d/rc.firewall. Nastpnie naley doda nastpujce wpisy do pliku /etc/rc.d/rc.local:
# Firewall IP
echo "uruchamianie Firewalla IP
/etc/init.d/rc.firewall
82
Reguy firewalla zostan zastosowane po zrestartowaniu systemu. Aby natychmiast zaadowa te reguy, naley uy polecenia /etc/init.d/rc.firewall. Niektre dystrybucje
Linuksa wymagaj uycia alternatywnych metod adowania regu firewalla podczas
startu systemu. Wicej informacji na ten temat mona znale w dokumentacji doczonej do danej dystrybucji.
83
jednak konieczne jest natychmiastowe uycie zmodyfikowanych ustawie, naley wysa do demona inetd sygna HUP, co spowoduje ponowne odczytanie pliku konfiguracyjnego:
killall
HUP
inetd
Konfiguracja demona xinetd jest bardziej skomplikowana. W wikszoci systemw istnieje plik osony konfiguracji o nazwie /etc/xinetd.conf, ktry wywouje skrypty znajdujce si w katalogu /etc/xinetd.d/. Aby wyczy usug znajdujc si w katalogu xinetd.d,
naley do pliku konfiguracyjnego tej usugi doda nastpujcy wiersz:
disable = yes
Przewodnik po funkcjach zapewnianych przez demona xinetd mona znale pod adresem http://www.macsecurity.org/resources/xinetd/tutorial.shtml.
Niektre usugi nie s uruchamiane przez superdemona, ale poprzez jeden z katalogw
startowych systemu. Pliki startowe s zapisywane w rnych miejscach w zalenoci od
dystrybucji systemu; na przykad RedHat wykorzystuje katalogi /etc/rc.d/rc[0-6].d, natomiast w przypadku Debiana s to katalogi /etc/rc[0-6].d. Liczba w nazwie katalogu odpowiada poziomowi startu, z jakim wywoywane s skrypty. Wikszo niepotrzebnych
usug jest uruchamiana poprzez skrypty w podkatalogach rc2.d i rc3.d. Aby wyczy
usug znajdujc si w katalogu rc, naley zmieni pierwsz liter nazwy skryptu z S na
inn liter (zwykle K); na przykad, aby wyczy program sendmail w dystrybucji RedHat,
konieczne s nastpujce polecenia:
cd /etc/rc.d/rc2.d
mv S80sendmail K80sendmail
84
Podstawowym zadaniem jest ustawienie statycznego wpisu ARP dla bramy domylnej.
Poniej przedstawiono przykadowy skrypt, ktry po umieszczeniu w pliku /etc/init.d/
staticarp moe tworzy niezbdne przypisanie. Zamiast wartoci <adres_IP _bramy>
i <adres_MAC_bramy> naley poda konkretne ustawienia sieci lokalnej:
#!/bin/sh
# Ten skrypt ustawia statyczne wpisy arp w systemie Linux
case "$1" in
start)
# Dodanie adresu MAC bramy do tablicy ARP
echo -n 'dodawanie adresu MAC bramy do tablicy ARP'
arp -s <adres_IP_bramy> <adres_MAC_bramy>
;;
stop)
# Usuniecie adresu MAC z tablicy ARP
echo 'usuwanie statycznego adresu MAC z tablicy ARP'
arp -d <adres_IP_bramy>
;;
*)
# Standardowe polecenie uzycia
echo "Uzycie: `basename $0` {start|stop}" >&2
;;
esac
exit 0
Aby statyczne wpisy ARP byy adowane automatycznie podczas startu systemu, naley
upewni si, czy plik staticarp jest wykonywalny, a nastpnie doda dowizanie symboliczne do katalogu /etc/rc.d/rc2.d. W tym celu naley wprowadzi nastpujce polecenia:
[root@mo rc2.d]# chmod 755 /etc/init.d/staticarp
[root@mo rc2.d]# cd /etc/rc.d/rc2.d
[root@mo rc2.d]# ln -s /etc/init.d/staticarp S98staticarp
85
pozwoli reagowa na ataki w czasie rzeczywistym, chronic w ten sposb zasoby, uytkownikw i ich dane.
Narzdzie arpwatch
Ze wzgldu na brak fizycznych zabezpiecze sieci bezprzewodowych ataki niskiego poziomu stanowi znacznie powaniejsze zagroenie ni w przypadku klasycznych sieci
Ethernet. Dziki zatruwaniu ARP (patrz rozdzia 2.) zoliwy host moe posuy do
przeprowadzenia ataku za porednictwem czowieka na inne komputery znajdujce si
w sieci. Uycie statycznych wpisw ARP w sposb opisany we wczeniejszej czci tego
rozdziau to jedna z metod zabezpieczenia si przed atakami tego typu.
Wykrywanie problemw z tablicami ARP to jedna z metod, dziki ktrym administrator
moe przyjrze si oglnemu bezpieczestwu sieci. Wykrycie podejrzanych wpisw
moe oznacza, e kto podsuchuje wszystkie przesyane pakiety, a dane s zagroone.
Do monitorowania sieci i sygnalizowania wszystkich nietypowych zdarze suy program o nazwie arpwatch. Aby moliwe byo jego uycie, naley zapewni dostp do
pierwotnych ramek, jakie s przesyane poprzez sie. W tym celu naley wczy w jdrze obsug opcji CONFIG_PACKET.
Szczegowy opis konfiguracji i uycia programu arpwatch mona znale w podrozdziale Narzdzie arpwatch w rozdziale 4.
Narzdzie syslog
Program syslog to bardzo popularne narzdzie, ktre moe by uywane przez praktycznie kad aplikacj. Wiele standardowych aplikacji, wcznie z dziennikiem jdra,
przesya do tego narzdzia przydatne informacje. Przekierowanie uzyskanych danych
do wybranego miejsca i regularne ich monitorowanie pozwala na uzyskanie przegldu
wszystkich czynnoci wykonywanych przez system i jego uytkownikw, wcznie
z osobami znajdujcymi si w sieci.
Poszczeglne dystrybucje Linuksa korzystaj z odmiennych konfiguracji narzdzia
syslog. W wikszoci przypadkw zebrane informacje s przesyane do rnych plikw
dziennikw na podstawie ich rda i poziomu wanoci. Czasami jednak przydaje si
moliwo przesania wszystkich danych do jednego pliku, gdy pozwala to na ich
przegldanie za pomoc wybranych narzdzi, takich jak grep i perl. Samodzielnie przefiltrowane dane kontroli zabezpiecze s zwykle znacznie bardziej przydatne ni informacje sortowane na podstawie zaoe przyjtych z gry.
Aby przekierowa do dziennika /var/log/messages wszystkie informacje, jakie trafiaj do
narzdzia syslog, naley na pocztku pliku konfiguracyjnego /etc/syslog.conf doda nastpujcy wiersz:
*.*
/var/log/messages
86
Narzdzie swatch
Przegldanie dziennikw systemowych jest nudne. Jeeli nie wystpuj adne ciekawe
zdarzenia, szybko mona straci zainteresowanie t prac i przesta zwraca na dzienniki systemowe uwag. Nie jest take moliwe przegldanie dziennikw przez cay czas.
Na szczcie dostpny jest program swatch, ktry stale monitoruje wszystkie informacje
zapisywane w dzienniku ASCII, oczekujc na pojawienie si interesujcych acuchw.
Po wykryciu problemu program moe wysa wiadomo e-mail, wywietli komunikat
w konsoli, a nawet odtworzy sygna dwikowy. Szczegowy opis programu swatch
mona znale w podrozdziale Narzdzie swatch w rozdziale 4.
Bezpieczna komunikacja
Nawet jeeli firewall dziaa poprawnie, a jdro zostao skonfigurowane z minimaln iloci opcji, wysanie do serwera niezaszyfrowanego hasa pocztowego moe sprawi, e
zaimplementowane systemowe mechanizmy zabezpiecze stan si cakowicie bezuyteczne. Bezpieczna komunikacja stanowi podstaw dla bezpieczestwa klienta. Szczegowe przedstawienie mechanizmw komunikacyjnych mona znale w podrozdziale
Bezpieczna komunikacja w rozdziale 3.
Przygotowanie niezbdnych zabezpiecze stacji roboczych z systemami FreeBSD i Linux
pozwoli pracowa we wrogim rodowisku, jakim jest sie bezprzewodowa. Jeeli stacja
robocza bdzie niedostpna i odporna na przeprowadzane prby wamania, haker
szybko si zniechci i sprbuje zaatakowa inny komputer w sieci. Kolejnym krokiem
procedury wdraania chronionej sieci bezprzewodowej jest zbadanie bezpieczestwa
punktw dostpowych i bramy sieciowej.