Zásady zabezpečení WiFi sítí – skutečný případ Novákových

Je známo, že lidé jsou tvorové důvěřiví a tak si v oblasti zabezpečení soukromí moc nedělají starosti. Hlavně, když jde o domácí sítě. Mnozí by námitkovali, že co komu bude do cizích WiFi sítí a co tím získá. Věřili byste, že mnoho a takováto malá drobnost by vás mohla pořádně potrápit.

SSID (Service Set Identifier)

SSID je přihlašovací jméno z řetězce ASCII dlouhé maximálně 32 znaků pro přístup na router, defaultně je nastaveno jeho vysílání, a tak může kdokoli vidět vaši síť. Lze ho dodatečně vypnout v nastavení.

MAC filter (media access control)

MAC je jedinečný identifikátor každého síťového zařízení, který u jakýchkoli dvou zařízení není stejný (vyjma klonování MAC adres programy). MAC filter tedy povolí připojení na router jen MAC adresám, jež jsou autorizovány. Popřípadě opačně, že zablokuje přístup MAC adresám, které jsou zapsány v seznamu. Doporučována je však první možnost.

WPA2 (Wi-Fi Protected Access 2)

WPA je šifrování WiFi sítí a důrazně je doporučováno mít alespoň nějaké. Nejlepší se jeví WPA2, které je bráno jako zcela bezpečné, jelikož podporuje nové algoritmy a funkce zabezpečení. Dnešní nová zařízení, musí od března 2006 podporovat zabezpečení WPA2, jinak nejsou certifikována jako zařízení WiFi. WPA2 je vylepšená verze WPA, která byla dříve. Stejně tak starší šifrování routery stále podporují, aby byla zaručena zpětná kompatibilita se všemi staršími WiFi zařízeními.

Sám z vlastní zkušenosti znám, že někteří lidé jsou opravdu hloupí nebo neznalí, když si přinesou domu router s WiFi, jen zapojí, nastaví základní nastavení DHCP, zapnou WiFi, defaultní hesla a navíc ještě vypouští internet do éteru bez nebo s nízkým šifrováním. a jedou. To je poté každá taková síť nejen viditelná, ale také nezabezpečená a snadno napadnutelná vnějšími vetřelci. Znám takové sítě již z vlastní zkušenosti, a proto je potřeba tyto uživatele trochu poučit o možném nebezpečí číhajícím za jejich dveřmi.

To jsem takhle jednou...

...se zkoušel připojit na sousedovic WiFi. Jejich síť je primitivně zabezpečena, a proto jsem se na ní dokázal bez sebemenších pokusů připojit. Jednalo se o síť s názvem Wifi-Novákovi (jméno je úmyslně změněno). Měli zabezpečení WPA. Ano relativně bezpečné, avšak není imunní vůči lidské blbosti. Na jejich síť jsem se totiž připojil hned na první pokus (zdůrazňuji slovo na PRVNÍ POKUS), když jsem zadal WPA klíč novakovi. Řekl jsem si, že to bude nějaká náhoda a dál že se nedostanu, avšak v okamžiku, kdy mi jejich DHCP server vyplivl IP jsem jen žasl v očekávání, že už mě to dál jistě nepustí, že už by novákovi si alespoň přihlášení do administrace zabezpečili více. Já se však velice mýlil. V síťovém nastavení své WiFi jsem vyhledal IP DHCP serveru, tedy routeru, co mi přidělil IP. Vypadala na default IP nastavení. Po vložení se objevila tabulka s přihlášením. Štěstí (jak pro koho :-D), že na ní byl i název WiFi routeru, jelikož jsem na internetu podle jeho názvu vyhledal default jméno na přihlášení, default heslo jsem nepředpokládal, jelikož by to byla veliká lamérnost. To jsem netušil, že si jako heslo k přístupu do administrace dají stejné heslo jako předchozí. Dostal jsem se tedy do administrace. Já však nejsem hulvát a nic jsem jim nezměnil a ani nezměním. A na chybu je později radši upozorním. Co z toho pro vás plyne? Že takto by rozhodně zabezpečení vašeho routeru ROZHODNĚ nemělo vypadat.

Chyb, kterých se dopustili Novákovi

• SSID v sobě obsahovalo heslo na přihlášení (prakticky, jméno stejné jako heslo)
• Když už měli tak jednoduché heslo, nenastavili si filter MAC adres
• Jméno routeru nechali Novákovi default a heslo na přístup do administrace stejné jako pro připojení na WiFi

Možné nápravy či předcházení pohromy (zabezpečení)

• Zakázat vysílání SSID (= zneviditelnit síť, budete o ní vědět jen vy, útočníci budou muset pro útok znát jak SSID, tak heslo)
• Povolit připojení na router jen povoleným MAC adresám = tzv. MAC filter
• Heslo k připojení na WiFi změnit na jiné, odlišné od SSID, nejlépe kombinaci písmen a číslic, kterou jen tak nikdo neuhodne. (Příklad: místo hesla novakovi vložit GF5ER3GJ587ACVT98)
• Pokud to připojované zařízení a router podporují WPA2 šifrování, použijte ho (všechny nové již musí podporovat, jinak neprojdou certifikací)
• Změnit přihlašovací jméno do administrace a heslo pro přihlášení také úplně jiné, odlišené od předchozího hesla
• Pokud máte příležitost, omezte vysílání signálu jen na část, kde ho skutečně potřebujete, a to pomocí směrových antén

Lze poznat, že Novákovi nastavovali router podle průvodce (Quick Setup Wizard) rychlého nastavení a o těchto zásadách zabezpečení nemají potuchy. Nebo je o nich nikdo neinformoval a tak si z Novákových vezměte příklad a ponaučte se. Příště to třeba nebudu já, kdo navštíví jejich router a jejich síť se stane hostitelem nějakého škodolibého maniaka ničitele, takové malé veřejné tajemství --> nezabezpečená WiFi síť je tedy jeden velký oxymóron.

Závěr

Prosím tedy, poučte se z chyb druhých, abyste je vy již nikdy neudělali. Každý není tak vychovaný jako já a může vám ze srandy vaši síť pěkně zaneřádit. Přecejenom WiFi není drát. WiFi signál posíláte vzduchem a tedy ho může kdejaký čmuchal odchytit a pěkně vám znepříjemnit vaše vzácné chvilky pohody. V případě, že je již pozdě a útočník převzal kontrolu nad vaším routerem, je důležité ho restartovat do továrního nastavení. Je to takový čudlík nacházející se buďto na spodní nebo zadní straně. Poté důrazně doporučuji provést kroky zabezpečení routeru, jež jsem vám vypsal výše. Úmyslně jsem v článku nevysvětloval do detailů různá technická nastavení a specifikace, jelikož článek je určen pro ne moc znalé uživatele, které má jen naučit správnému zabezpečení svého soukromí WiFi sítí. Článek je tedy snadno pochopitelný i pro méně zdatné uživatele PC. Nesmíte však brát článek o zabezpečení doslova. Nic není 100%. Vše se totiž dá oblafnout nebo získat a to jak vědomě tak nevědomě. V kombinaci všech zmíněných prvků zabezpečení, máte šanci napadnutelnosti vašeho routeru 0,1%, což je tak malá šance, že útočník to beztak po pár dnech vzdá.

I kdyby útočník zjistil vaše skryté SSID, musel by překonat WPA2 šifrování, což je nadlidský úkol i pro zkušené hackery, poté by musel překonat filtr MAC adres, nalézt router, jeho jméno a heslo, přičemž by se potýkal se špatným signálem, který jste omezili jen na vaše prostory. Co myslíte vy? Není to dobré?

Zásady bezpečnosti Wi-Fi sítí ve zkratce:

• Deaktivovat vysílání SSID
• Aktivovat šifrování (doporučuji WPA2)
• Změnit defaultní hesla a jména v routeru
• Zmenšit třebas rozsah vysílání signálu, pokud máte silnou anténu, aby signál pokryl jen vaše prostory
• Zapnout filtr MAC adres

Příště se tešte z oblasti síťových prvků na další díl (4.) stavby serveru, tentokrát již opravdu samotnou stavbu serveru a recenzi routeru La Fonera od globální WiFi komunity FON.

- Nakupujte WiFi a síťová zařízení výhodně na