Wstęp
Bezpieczna sieć to podstawa bezpieczeństwa znajdujących się w niej komputerów i innych urządzeń. Luki w zabezpieczeniach sieci mogą nie tylko ułatwić hakerom dostęp do danych na dyskach, ale także umożliwić im przejęcie pełnej kontroli nad sprzętem. Hakerzy mogą w ten sposób, przykładowo, rozsyłać spam korzystając z naszych komputerów, bądź smartfonów lub włamywać się do innych sieci za pomocą naszego sprzętu.
W porównaniu z okablowanymi sieciami Ethernet, domowe sieci Wi-Fi stanowią wielkie ułatwienie, nie tylko dla osób właściwie z nich korzystających, ale także dla potencjalnych hakerów. Jak się bowiem okazuje, do słabo zabezpieczonych, bądź niewłaściwie skonfigurowanych domowych sieci Wi-Fi bardzo łatwo jest się włamać, o wiele łatwiej, niż do słabo zabezpieczonych komputerowych sieci okablowanych.
Aby w pełni cieszyć się dobrodziejstwami rozwiązań sieciowych Wi-Fi, bez narażania się na skutki uboczne hakerskich wyczynów, wystarczy zapoznać się z kilkoma bardzo prostymi, ale skutecznymi wskazówkami, które przedstawię w niniejszym artykule. Omówię głównie aspekty związane z funkcjami Wi-Fi urządzeń generujących sieć. Niezależnie od rodzaju urządzenia odpowiedzialnego za generowanie infrastruktury sieci Wi-Fi, a może być to przykładowo ruter z funkcją Wi-Fi, bądź punkt dostępowy Wi-Fi (AP), ale nie tylko, przedstawione przeze mnie porady są na tyle uniwersalne, że będzie można je w prawie każdym przypadku zastosować z powodzeniem.
Przed rozpoczęciem, czyli jak to wszystko zrobić
Aby zastosować poniżej przedstawione wskazówki, konieczny jest dostęp do panelu administracyjnego urządzenia generującego infrastrukturę sieci Wi-Fi, które mamy zamiar zabezpieczyć. Do urządzenia generującego Wi-Fi można się przeważnie dostać korzystając z przeglądarki internetowej, po wpisaniu w pasku adresów url odpowiedniej wartości IP. Fabrycznie ustawiony adres IP tego typu urządzeń to przeważnie 192.168.1.1, z maską podsieci 255.255.255.0, choć miałem okazję spotkać się z urządzeniami o fabrycznie ustawionych adresach 192.168.1.2, a także 192.168.0.1. Aby sprzęt Wi-Fi był widoczny dla przeglądarki, musi się on znajdować w tej samej podsieci co komputer, na którym uruchamiana jest przeglądarka.
Hasło do AP / rutera
Fabrycznie ustawione nazwa użytkownika i hasło do panelu administracyjnego rutera, bądź punktu dostępu Wi-Fi, widnieją generalnie w instrukcji obsługi sprzętu. Często producenci umieszczają te informacje dodatkowo na spodzie, bądź na którymś z boków urządzenia. Listy fabrycznych nazw użytkowników i haseł, odpowiadających konkretnym modelom urządzeń Wi-Fi znajdują się nie tylko w internecie, ale także w bazach danych popularnych i łatwo dostępnych aplikacji hakerskich, które stosowane są w celu włamania się do sieci Wi-Fi. Dlatego też, warto podjąć opisaną w tej sekcji i bardzo prostą czynność, która niestety często jest pomijana przez "administratorów" domowych sieci. Niezwłocznie po pierwszym udanym zalogowaniu się do panelu administracyjnego urządzenia dostępowego za pomocą fabrycznie ustawionego hasła i niezależnie od tego, czy chodzi o punkt dostępowy Wi-Fi (AP), czy też ruter z obsługą Wi-Fi, zmiana standardowego hasła admina to pierwsza czynność, którą należy wykonać. Nowo ustawione hasło dostępu do urządzenia powinno być trudne do odgadnięcia i składać się, w miarę możliwości, z różnego rodzaju znaków alfanumerycznych użytych na przemian. Przykładowo, trudnym do złamania hasłem może okazać się kombinacja hH7_=Z09cFg. W urządzeniach, które na to pozwalają, oprócz samego hasła warto ustawić nietypową nazwę użytkownika a uprawnieniami administracyjnymi, jak np. oOop1baba.
 |
| Pierwsze co należy zrobić: zmiana hasła dostępu do sprzętu generującego sieć Wi-Fi |
Aktualizacja oprogramowania firmware rutera
Kolejnym ważnym krokiem, po zmianie standardowego hasła, a w miarę możliwości także nazwy użytkownika uprawnionego do działań administracyjnych na sieciowym sprzęcie Wi-Fi, należy sprawdzić czy oprogramowanie (firmware) rutera bądź AP jest aktualne. Informacje na ten temat można zawsze uzyskać na stronie producenta, a w przypadku ukazania się nowej wersji, oprogramowanie należy niezwłocznie uaktualnić. Jak tego dokonać zależy wyłącznie od zaleceń producenta. Nieaktualne oprogramowanie firmware może zawierać luki ułatwiające przejęcie kontroli nad sprzętem i urządzeniami znajdującymi się w sieci.
 |
| Aktualna wersja Firmware to podstawa bezpieczeństwa sieci Wi-Fi |
Identyfikator sieci SSID
Zalecaną czynnością jest ukrycie identyfikatora SSID, bądź przynajmniej zmiana fabrycznie ustawionego identyfikatora SSID, który ułatwia hakerom identyfikację marki i modelu sprzętu, na inny. Jeśli nie mamy zamiaru ukrywać identyfikatora SSID, bo chcemy aby sieć była dobrze widoczna, to warto zmienić standardowy SSID na coś nietypowego.
 |
| Identyfikator SSID |
Szyfrowanie danych
W przeciwieństwie do sieci okablowanych, do których osobom nieautoryzowanym nie sposób się dostać bez podłączenia komputera do odpowiedniego gniazdka sieciowego – do którego dostęp jest generalnie dobrze zabezpieczony, radiowy sygnał sieci Wi-Fi daje hakerom praktycznie nieograniczone możliwości. Obecne standardy Wi-Fi pozwalają jednak w łatwy sposób wymusić szyfrowanie danych przesyłanych w sieci. Szyfrowanie danych Wi-Fi uniemożliwia odczyt informacji, jakie przesyłane są w sieci, w tym także różnego rodzaju haseł, dlatego też zawsze warto takie szyfrowanie zastosować. Wśród powszechnie dostępnych standardów szyfrowania danych WEP, WPA i WPA2 najmniej bezpiecznym jest WEP, choć jego zastosowanie umożliwia przyłączanie do sieci także starszych urządzeń, które nie obsługują lepszego sposobu szyfrowania. WEP jest naprawdę łatwo złamać i wiele popularnych aplikacji bardzo dobrze sobie radzi z tym zadaniem. O wiele lepszym od WEP rozwiązaniem jest WPA (PSK), a najbezpieczniejszym, wśród powszechnie dostępnych protokołów szyfrujących Wi-Fi, jest aktualnie WPA2-PSK, którego szyfry okazują się być praktycznie niemożliwe do złamania. Szyfrowanie danych Wi-Fi wykonywane jest na podstawie klucza szyfrującego, który powinien być starannie dobrany, tak aby nie był łatwy do odgadnięcia. Zastosowanie odpowiedniego rodzaju szyfrowania danych, połączone z pozostałymi wskazówkami zawartymi w tym artykule, pozwala uzyskać wysoki poziom zabezpieczeń sieci Wi-Fi.
 |
| Szyfrowanie danych Wi-Fi. Najbezpieczniej z WPA2-PSK |
Sygnał Wi-Fi
Poziom sygnału Wi-Fi w urządzeniu generującym sieć nie powinien być zbyt niski, ani zbyt wysoki. Za słaby sygnał może być przyczyną nieprawidłowego funkcjonowania całej sieci Wi-Fi, natomiast za mocny sygnał może stwarzać dodatkowe zagrożenie ewentualnych ataków hakerskich. Jeżeli znajdujemy się w małym mieszkaniu na osiedlu, warto zmniejszyć zasięg sygnału Wi-Fi w taki sposób, aby nie przenikał on niepotrzebnie do sąsiednich mieszkań, klatki schodowej bądź podwórka. Jak odpowiednio zmniejszyć sygnał sieci Wi-Fi? Jest na to kilka skutecznych sposobów: zmiana tryby pracy urządzenia na standard 802.11g (zamiast 802.11n czy 802.11b); umiejscowienie urządzenia w szafce; częściowe osłonięcie anteny folią aluminiową.
Filtrowanie adresów MAC
Filtrowanie adresów MAC na ruterze Wi-Fi, bądź urządzeniu typu AP pozwala w pewnym sensie ograniczyć nieautoryzowany dostęp do sieci Wi-FI. Jak to działa? W zależności od modelu urządzenia generującego sieć Wi-Fi, filtrowanie dostępu do sieci Wi-Fi oparte na adresach MAC (sprzętowy adres interfejsu sieciowego urządzeń) może oferować mniej lub bardziej zaawansowane funkcje. Jednak każde urządzenie wspierające taką możliwość pozwala wykluczyć z dostępu do sieci Wi-Fi urządzenia o adresach MAC nie znajdujących się na autoryzowanej liście. Niestety metoda sama w sobie nie daje stu procentowej pewności, ponieważ istnieją bardzo proste metody podmiany adresów MAC interfejsów sieciowych urządzeń, a także sposoby na odczytanie adresów MAC interfejsów sieciowych urządzeń korzystających z danej sieci Wi-Fi.
Wyłączenie funkcji WPS
Niektóre urządzenia generujące sieć Wi-Fi wyposażone są w funkcję WPS, która znacznie ułatwia przyłączenie się do sieci. Aby zapewnić wysoki poziom bezpieczeństwa sieci Wi-Fi funkcję WPS należy koniecznie wyłączyć korzystając w tym celu z panelu administracyjnego.
Brak komentarzy:
Prześlij komentarz
Dodaj komentarz