VSEOHW.NET - Ve, co chcete vdt o hardware

 
Home > lnky > Zásady zabezpeèení WiFi sítí – skuteèný pøípad Novákových
Nepihlen nvtvnk

Zásady zabezpeèení WiFi sítí – skuteèný pøípad Novákových

Zásady zabezpeèení WiFi sítí – skuteèný pøípad Novákových

Je známo, že lidé jsou tvorové dùvìøiví a tak si v oblasti zabezpeèení soukromí moc nedìlají starosti. Hlavnì, když jde o domácí sítì. Mnozí by námitkovali, že co komu bude do cizích WiFi sítí a co tím získá. Vìøili byste, že mnoho a takováto malá drobnost by vás mohla poøádnì potrápit.

Zásady zabezpeèení WiFi sítí – ukázka na skuteèném pøípadu Novákových

SSID (Service Set Identifier)

SSID je pøihlašovací jméno z øetìzce ASCII dlouhé maximálnì 32 znakù pro pøístup na router, defaultnì je nastaveno jeho vysílání, a tak mùže kdokoli vidìt vaši sí. Lze ho dodateènì vypnout v nastavení.

MAC filter (media access control)

MAC je jedineèný identifikátor každého síového zaøízení, který u jakýchkoli dvou zaøízení není stejný (vyjma klonování MAC adres programy). MAC filter tedy povolí pøipojení na router jen MAC adresám, jež jsou autorizovány. Popøípadì opaènì, že zablokuje pøístup MAC adresám, které jsou zapsány v seznamu. Doporuèována je však první možnost.

WPA2 (Wi-Fi Protected Access 2)

WPA je šifrování WiFi sítí a dùraznì je doporuèováno mít alespoò nìjaké. Nejlepší se jeví WPA2, které je bráno jako zcela bezpeèné, jelikož podporuje nové algoritmy a funkce zabezpeèení. Dnešní nová zaøízení, musí od bøezna 2006 podporovat zabezpeèení WPA2, jinak nejsou certifikována jako zaøízení WiFi. WPA2 je vylepšená verze WPA, která byla døíve. Stejnì tak starší šifrování routery stále podporují, aby byla zaruèena zpìtná kompatibilita se všemi staršími WiFi zaøízeními.

Sám z vlastní zkušenosti znám, že nìkteøí lidé jsou opravdu hloupí nebo neznalí, když si pøinesou domu router s WiFi, jen zapojí, nastaví základní nastavení DHCP, zapnou WiFi, defaultní hesla a navíc ještì vypouští internet do éteru bez nebo s nízkým šifrováním. a jedou. To je poté každá taková sí nejen viditelná, ale také nezabezpeèená a snadno napadnutelná vnìjšími vetøelci. Znám takové sítì již z vlastní zkušenosti, a proto je potøeba tyto uživatele trochu pouèit o možném nebezpeèí èíhajícím za jejich dveømi.

To jsem takhle jednou...

...se zkoušel pøipojit na sousedovic WiFi. Jejich sí je primitivnì zabezpeèena, a proto jsem se na ní dokázal bez sebemenších pokusù pøipojit. Jednalo se o sí s názvem Wifi-Novákovi (jméno je úmyslnì zmìnìno). Mìli zabezpeèení WPA. Ano relativnì bezpeèné, avšak není imunní vùèi lidské blbosti. Na jejich sí jsem se totiž pøipojil hned na první pokus (zdùrazòuji slovo na PRVNÍ POKUS), když jsem zadal WPA klíè novakovi. Øekl jsem si, že to bude nìjaká náhoda a dál že se nedostanu, avšak v okamžiku, kdy mi jejich DHCP server vyplivl IP jsem jen žasl v oèekávání, že už mì to dál jistì nepustí, že už by novákovi si alespoò pøihlášení do administrace zabezpeèili více. Já se však velice mýlil. V síovém nastavení své WiFi jsem vyhledal IP DHCP serveru, tedy routeru, co mi pøidìlil IP. Vypadala na default IP nastavení. Po vložení se objevila tabulka s pøihlášením. Štìstí (jak pro koho :-D), že na ní byl i název WiFi routeru, jelikož jsem na internetu podle jeho názvu vyhledal default jméno na pøihlášení, default heslo jsem nepøedpokládal, jelikož by to byla veliká lamérnost. To jsem netušil, že si jako heslo k pøístupu do administrace dají stejné heslo jako pøedchozí. Dostal jsem se tedy do administrace. Já však nejsem hulvát a nic jsem jim nezmìnil a ani nezmìním. A na chybu je pozdìji radši upozorním. Co z toho pro vás plyne? Že takto by rozhodnì zabezpeèení vašeho routeru ROZHODNÌ nemìlo vypadat.

Zásady zabezpeèení WiFi sítí – ukázka na skuteèném pøípadu Novákových

Chyb, kterých se dopustili Novákovi

  • SSID v sobì obsahovalo heslo na pøihlášení (prakticky, jméno stejné jako heslo)
  • Když už mìli tak jednoduché heslo, nenastavili si filter MAC adres
  • Jméno routeru nechali Novákovi default a heslo na pøístup do administrace stejné jako pro pøipojení na WiFi

Možné nápravy èi pøedcházení pohromy (zabezpeèení)

  • Zakázat vysílání SSID (= zneviditelnit sí, budete o ní vìdìt jen vy, útoèníci budou muset pro útok znát jak SSID, tak heslo)
  • Povolit pøipojení na router jen povoleným MAC adresám = tzv. MAC filter
  • Heslo k pøipojení na WiFi zmìnit na jiné, odlišné od SSID, nejlépe kombinaci písmen a èíslic, kterou jen tak nikdo neuhodne. (Pøíklad: místo hesla novakovi vložit GF5ER3GJ587ACVT98)
  • Pokud to pøipojované zaøízení a router podporují WPA2 šifrování, použijte ho (všechny nové již musí podporovat, jinak neprojdou certifikací)
  • Zmìnit pøihlašovací jméno do administrace a heslo pro pøihlášení také úplnì jiné, odlišené od pøedchozího hesla
  • Pokud máte pøíležitost, omezte vysílání signálu jen na èást, kde ho skuteènì potøebujete, a to pomocí smìrových antén

Lze poznat, že Novákovi nastavovali router podle prùvodce (Quick Setup Wizard) rychlého nastavení a o tìchto zásadách zabezpeèení nemají potuchy. Nebo je o nich nikdo neinformoval a tak si z Novákových vezmìte pøíklad a ponauète se. Pøíštì to tøeba nebudu já, kdo navštíví jejich router a jejich sí se stane hostitelem nìjakého škodolibého maniaka nièitele, takové malé veøejné tajemství --> nezabezpeèená WiFi sí je tedy jeden velký oxymóron.

Závìr

Prosím tedy, pouète se z chyb druhých, abyste je vy již nikdy neudìlali. Každý není tak vychovaný jako já a mùže vám ze srandy vaši sí pìknì zaneøádit. Pøecejenom WiFi není drát. WiFi signál posíláte vzduchem a tedy ho mùže kdejaký èmuchal odchytit a pìknì vám znepøíjemnit vaše vzácné chvilky pohody. V pøípadì, že je již pozdì a útoèník pøevzal kontrolu nad vaším routerem, je dùležité ho restartovat do továrního nastavení. Je to takový èudlík nacházející se buïto na spodní nebo zadní stranì. Poté dùraznì doporuèuji provést kroky zabezpeèení routeru, jež jsem vám vypsal výše. Úmyslnì jsem v èlánku nevysvìtloval do detailù rùzná technická nastavení a specifikace, jelikož èlánek je urèen pro ne moc znalé uživatele, které má jen nauèit správnému zabezpeèení svého soukromí WiFi sítí. Èlánek je tedy snadno pochopitelný i pro ménì zdatné uživatele PC. Nesmíte však brát èlánek o zabezpeèení doslova. Nic není 100%. Vše se totiž dá oblafnout nebo získat a to jak vìdomì tak nevìdomì. V kombinaci všech zmínìných prvkù zabezpeèení, máte šanci napadnutelnosti vašeho routeru 0,1%, což je tak malá šance, že útoèník to beztak po pár dnech vzdá.

I kdyby útoèník zjistil vaše skryté SSID, musel by pøekonat WPA2 šifrování, což je nadlidský úkol i pro zkušené hackery, poté by musel pøekonat filtr MAC adres, nalézt router, jeho jméno a heslo, pøièemž by se potýkal se špatným signálem, který jste omezili jen na vaše prostory. Co myslíte vy? Není to dobré?

Zásady bezpeènosti Wi-Fi sítí ve zkratce:

  • Deaktivovat vysílání SSID
  • Aktivovat šifrování (doporuèuji WPA2)
  • Zmìnit defaultní hesla a jména v routeru
  • Zmenšit tøebas rozsah vysílání signálu, pokud máte silnou anténu, aby signál pokryl jen vaše prostory
  • Zapnout filtr MAC adres

Zásady zabezpeèení WiFi sítí – ukázka na skuteèném pøípadu Novákových

Pøíštì se tešte z oblasti síových prvkù na další díl (4.) stavby serveru, tentokrát již opravdu samotnou stavbu serveru a recenzi routeru La Fonera od globální WiFi komunity FON.

Sponzor èlánku:
Mall - Nakupujte WiFi a síová zaøízení výhodnì na

© Èestmír Suchý
Datum: 20.04.2008 | Oznmkujte lnek jako ve kole:
| Prmrn znmka: 0 | Zobrazeno: 29619x

 

Komente k lnku

Pro monost pidn komente k lnku se prosm pihlaste.

Souvisejc lnky


Homepage | lnky | Download | Slovnk | Podpora | O ns | Nahlsit chybu | Validn: XHTML & CSS | ecko - dovolen | Mal princ