niedziela, 9 sierpnia 2015

Jak zabezpieczyć domową sieć Wi-Fi

Wstęp


Bezpieczna sieć to podstawa bezpieczeństwa znajdujących się w niej komputerów i innych urządzeń. Luki w zabezpieczeniach sieci mogą nie tylko ułatwić hakerom dostęp do danych na dyskach, ale także umożliwić im przejęcie pełnej kontroli nad sprzętem. Hakerzy mogą w ten sposób, przykładowo, rozsyłać spam korzystając z naszych komputerów, bądź smartfonów lub włamywać się do innych sieci za pomocą naszego sprzętu.

W porównaniu z okablowanymi sieciami Ethernet, domowe sieci Wi-Fi stanowią wielkie ułatwienie, nie tylko dla osób właściwie z nich korzystających, ale także dla potencjalnych hakerów. Jak się bowiem okazuje, do słabo zabezpieczonych, bądź niewłaściwie skonfigurowanych domowych sieci Wi-Fi bardzo łatwo jest się włamać, o wiele łatwiej, niż do słabo zabezpieczonych komputerowych sieci okablowanych.

Aby w pełni cieszyć się dobrodziejstwami rozwiązań sieciowych Wi-Fi, bez narażania się na skutki uboczne hakerskich wyczynów, wystarczy zapoznać się z kilkoma bardzo prostymi, ale skutecznymi wskazówkami, które przedstawię w niniejszym artykule. Omówię głównie aspekty związane z funkcjami Wi-Fi urządzeń generujących sieć. Niezależnie od rodzaju urządzenia odpowiedzialnego za generowanie infrastruktury sieci Wi-Fi, a może być to przykładowo ruter z funkcją Wi-Fi, bądź punkt dostępowy Wi-Fi (AP), ale nie tylko, przedstawione przeze mnie porady są na tyle uniwersalne, że będzie można je w prawie każdym przypadku zastosować z powodzeniem.

Przed rozpoczęciem, czyli jak to wszystko zrobić


Aby zastosować poniżej przedstawione wskazówki, konieczny jest dostęp do panelu administracyjnego urządzenia generującego infrastrukturę sieci Wi-Fi, które mamy zamiar zabezpieczyć. Do urządzenia generującego Wi-Fi można się przeważnie dostać korzystając z przeglądarki internetowej, po wpisaniu w pasku adresów url odpowiedniej wartości IP. Fabrycznie ustawiony adres IP tego typu urządzeń to przeważnie 192.168.1.1, z maską podsieci 255.255.255.0, choć miałem okazję spotkać się z urządzeniami o fabrycznie ustawionych adresach 192.168.1.2, a także 192.168.0.1. Aby sprzęt Wi-Fi był widoczny dla przeglądarki, musi się on znajdować w tej samej podsieci co komputer, na którym uruchamiana jest przeglądarka.

Hasło do AP / rutera


Fabrycznie ustawione nazwa użytkownika i hasło do panelu administracyjnego rutera, bądź punktu dostępu Wi-Fi, widnieją generalnie w instrukcji obsługi sprzętu. Często producenci umieszczają te informacje dodatkowo na spodzie, bądź na którymś z boków urządzenia. Listy fabrycznych nazw użytkowników i haseł, odpowiadających konkretnym modelom urządzeń Wi-Fi znajdują się nie tylko w internecie, ale także w bazach danych popularnych i łatwo dostępnych aplikacji hakerskich, które stosowane są w celu włamania się do sieci Wi-Fi. Dlatego też, warto podjąć opisaną w tej sekcji i bardzo prostą czynność, która niestety często jest pomijana przez "administratorów" domowych sieci. Niezwłocznie po pierwszym udanym zalogowaniu się do panelu administracyjnego urządzenia dostępowego za pomocą fabrycznie ustawionego hasła i niezależnie od tego, czy chodzi o punkt dostępowy Wi-Fi (AP), czy też ruter z obsługą Wi-Fi, zmiana standardowego hasła admina to pierwsza czynność, którą należy wykonać. Nowo ustawione hasło dostępu do urządzenia powinno być trudne do odgadnięcia i składać się, w miarę możliwości, z różnego rodzaju znaków alfanumerycznych użytych na przemian. Przykładowo, trudnym do złamania hasłem może okazać się kombinacja hH7_=Z09cFg. W urządzeniach, które na to pozwalają, oprócz samego hasła warto ustawić nietypową nazwę użytkownika a uprawnieniami administracyjnymi, jak np. oOop1baba.

Zmiana hasła do rutera/AP Wi-FI
Pierwsze co należy zrobić: zmiana hasła dostępu do sprzętu generującego sieć Wi-Fi

Aktualizacja oprogramowania firmware rutera


Kolejnym ważnym krokiem, po zmianie standardowego hasła, a w miarę możliwości także nazwy użytkownika uprawnionego do działań administracyjnych na sieciowym sprzęcie Wi-Fi, należy sprawdzić czy oprogramowanie (firmware) rutera bądź AP jest aktualne. Informacje na ten temat można zawsze uzyskać na stronie producenta, a w przypadku ukazania się nowej wersji, oprogramowanie należy niezwłocznie uaktualnić. Jak tego dokonać zależy wyłącznie od zaleceń producenta. Nieaktualne oprogramowanie firmware może zawierać luki ułatwiające przejęcie kontroli nad sprzętem i urządzeniami znajdującymi się w sieci.

Bezpieczeństwo sieci Wi-Fi to także aktualne oprogramowanie Firmware
Aktualna wersja Firmware to podstawa bezpieczeństwa sieci Wi-Fi

Identyfikator sieci SSID


Zalecaną czynnością jest ukrycie identyfikatora SSID, bądź przynajmniej zmiana fabrycznie ustawionego identyfikatora SSID, który ułatwia hakerom identyfikację marki i modelu sprzętu, na inny. Jeśli nie mamy zamiaru ukrywać identyfikatora SSID, bo chcemy aby sieć była dobrze widoczna, to warto zmienić standardowy SSID na coś nietypowego.

SSID
Identyfikator SSID

Szyfrowanie danych


W przeciwieństwie do sieci okablowanych, do których osobom nieautoryzowanym nie sposób się dostać bez podłączenia komputera do odpowiedniego gniazdka sieciowego – do którego dostęp jest generalnie dobrze zabezpieczony, radiowy sygnał sieci Wi-Fi daje hakerom praktycznie nieograniczone możliwości. Obecne standardy Wi-Fi pozwalają jednak w łatwy sposób wymusić szyfrowanie danych przesyłanych w sieci. Szyfrowanie danych Wi-Fi uniemożliwia odczyt informacji, jakie przesyłane są w sieci, w tym także różnego rodzaju haseł, dlatego też zawsze warto takie szyfrowanie zastosować. Wśród powszechnie dostępnych standardów szyfrowania danych WEP, WPA i WPA2 najmniej bezpiecznym jest WEP, choć jego zastosowanie umożliwia przyłączanie do sieci także starszych urządzeń, które nie obsługują lepszego sposobu szyfrowania. WEP jest naprawdę łatwo złamać i wiele popularnych aplikacji bardzo dobrze sobie radzi z tym zadaniem. O wiele lepszym od WEP rozwiązaniem jest WPA (PSK), a najbezpieczniejszym, wśród powszechnie dostępnych protokołów szyfrujących Wi-Fi, jest aktualnie WPA2-PSK, którego szyfry okazują się być praktycznie niemożliwe do złamania. Szyfrowanie danych Wi-Fi wykonywane jest na podstawie klucza szyfrującego, który powinien być starannie dobrany, tak aby nie był łatwy do odgadnięcia. Zastosowanie odpowiedniego rodzaju szyfrowania danych, połączone z pozostałymi wskazówkami zawartymi w tym artykule, pozwala uzyskać wysoki poziom zabezpieczeń sieci Wi-Fi.

Szyfrowanie danych Wi-Fi
Szyfrowanie danych Wi-Fi. Najbezpieczniej z WPA2-PSK


Sygnał Wi-Fi


Poziom sygnału Wi-Fi w urządzeniu generującym sieć nie powinien być zbyt niski, ani zbyt wysoki. Za słaby sygnał może być przyczyną nieprawidłowego funkcjonowania całej sieci Wi-Fi, natomiast za mocny sygnał może stwarzać dodatkowe zagrożenie ewentualnych ataków hakerskich. Jeżeli znajdujemy się w małym mieszkaniu na osiedlu, warto zmniejszyć zasięg sygnału Wi-Fi w taki sposób, aby nie przenikał on niepotrzebnie do sąsiednich mieszkań, klatki schodowej bądź podwórka. Jak odpowiednio zmniejszyć sygnał sieci Wi-Fi? Jest na to kilka skutecznych sposobów: zmiana tryby pracy urządzenia na standard 802.11g (zamiast 802.11n czy 802.11b); umiejscowienie urządzenia w szafce; częściowe osłonięcie anteny folią aluminiową.

Filtrowanie adresów MAC


Filtrowanie adresów MAC na ruterze Wi-Fi, bądź urządzeniu typu AP pozwala w pewnym sensie ograniczyć nieautoryzowany dostęp do sieci Wi-FI. Jak to działa? W zależności od modelu urządzenia generującego sieć Wi-Fi, filtrowanie dostępu do sieci Wi-Fi oparte na adresach MAC (sprzętowy adres interfejsu sieciowego urządzeń) może oferować mniej lub bardziej zaawansowane funkcje. Jednak każde urządzenie wspierające taką możliwość pozwala wykluczyć z dostępu do sieci Wi-Fi urządzenia o adresach MAC nie znajdujących się na autoryzowanej liście. Niestety metoda sama w sobie nie daje stu procentowej pewności, ponieważ istnieją bardzo proste metody podmiany adresów MAC interfejsów sieciowych urządzeń, a także sposoby na odczytanie adresów MAC interfejsów sieciowych urządzeń korzystających z danej sieci Wi-Fi.

Wyłączenie funkcji WPS


Niektóre urządzenia generujące sieć Wi-Fi wyposażone są w funkcję WPS, która znacznie ułatwia przyłączenie się do sieci. Aby zapewnić wysoki poziom bezpieczeństwa sieci Wi-Fi funkcję WPS należy koniecznie wyłączyć korzystając w tym celu z panelu administracyjnego.

Brak komentarzy:

Prześlij komentarz