Zaščita domačega WI-FI omrežja

Ne vem, morda gre za moj subjektivni občutek, vendar zdi se mi, da so brezžična domača omrežja (wi-fi) postala ena najbolj uspešnih računalniških tehnologij v zadnjem času. Skoraj ne poznam nikogar več, ki bi imel doma širokopasovni priključek v internet (ADSL, kabelski internet) in bi še vedno vlekel kable po stanovanju.

Nekaterim to doma ne pustijo starši, češ da kabli kazijo podobo stanovanja, ki so ga s trdimi žulji zgradili, drugje se računalniki množijo in bi hitro postale stene prepredene z žicami. Včasih je problem tudi vrtanje lukenj v stene in plošče med nadstropji. Če imaš prenosnik, ki ima mimogrede že vgrajen brezžični vmesnik, je lepo, da se lahko preprosto zlekneš po dolgem na kavč ali v posteljo in v ležeči pozi prebereš elektronsko pošto, pogledaš kakšno spletno stran, recimo v kuhinji, na pultu, delaš in sproti gledaš recepte na spletu in pri tem ne vlačiš za seboj motalico s kablom po stanovanju.

Skratka razlogov, zakaj so brezžična domača omrežja postala tako priljubljena izbira, je več kot dovolj.

Žal pa konfiguracija brezžičnega domačega omrežja ni tako enostavno opravilo, kot recimo priklop tiskalnika na računalnik in namestitev gonilnika za tiskanje, kar večina uporabnikov naredi brez večjih težav sama doma. Oziroma časovno postopek niti ni bistveno bolj zamuden, zahteva pa nekaj več znanja in razumevanja osnovnih pojmov.

Ko sem se sam lotil prvič konfiguracije brezžičnega omrežja, sem moral prebrati kar nekaj strani na internetu, da sem razumel vse pojme in nastavitve, ki so potrebne, da je omrežje kolikor toliko zaščiteno pred vsiljivci.

Problem je namreč v tem, da ta tehnologija uporablja radijski signal za prenos podatkov, kar pa pomeni, da signal lahko sprejema vsakdo, ki je v dometu oddajnika in ima ustrezen wi-fi sprejemnik. Če omrežje ni zaščiteno, se lahko brez težav parazitsko priklopi v internet prek brezžičnega omrežja nekoga drugega.

Marsikdo sicer zamahne z roko, češ, pa kaj, če sosed uporablja moj priklop v internet. Bog mu požegnaj. In tako altruistično razmišljanje bi celo lahko podprl …če…. Prvič, niso vsi sosedje dobri po srcu in kaj hitro lahko naletiš na nekoga, ki ti priklopljen v tvoje omrežje spremeni iz čiste zlobe ali za zabavo vse nastavitve. Tak primer sem že videl v praksi pri moji sosedi. Drugič, obstajajo ljudje, ki na internetu izvajajo razna kriminalna dejanja, si izmenjujejo pedofilske slike, vdirajo v računalniška omrežja in podobno. Večina teh ljudi zelo dobro pozna načine, kako lahko nekoga izsledijo in vedo, da so razne spletne kavarne, knjižnice in podobni javni prostori z priklopom na internet običajno pod video nadzorom. Zato so prosto dostopna brezžična omrežja sredi blokovskega naselja idealna za tako početje, ko pa kriminalisti ugotovijo, od kje je prišlo recimo do vdora na neko spletno stran in potrkajo na vrata lastnika brezžičnega omrežja, pa mamo na vratih zadane infarkt. Moj sin, odličnjak in dobitnik bronastega delfinčka iz šole v naravi, pa pedofil?

Kot se za vsak kuharski recept spodobi, pa najprej osnovne sestavine za domače brezžično omrežje. Za osnovno postavitev potrebujemo:

1 kos Brezžičnega usmerjevalnika

Ključni del vsakega domačega brezžičnega omrežja je tako imenovani brezžični usmerjevalnik (Wireless Router ali Wireless Network Access Point ), naprava, ki se priključi na vmesnik, povezan v internet (ADSL ali kabelski modem, v zadnjem času tudi mobilni internet) in ima vgrajen radijski del, prek katerega se potem ostale naprave povežejo v omrežje. Nekateri ADSL vmensiki imajo brezžični dostopno točko tudi že vgrajeno ali jo je možno opcijsko vgraditi naknadno.

Pri brezžičnih usmerjevalnikih lahko poleg ostalega izbiramo tudi med modeli, ki podpirajo tudi že mobilni internet prek UMTS omrežja (recimo Linksysov model WRT54G3G), nekateri imajo vgrajene tiskalniške strežnike, ki omogočajo enostavno tiskanje znotraj omrežja na skupni tiskalnik ali pa celo vgrajen NAS disk za shranjevanje podatkov. Na ceno pa te opcije jasno ne vplivajo ravno blagodejno.

1 kos Omrežne brezžične kartice (Wireless PCI Network Card ) ali Brezžičnega USB ključka (Wireless USB)

Ti napravi sta po funkcionalnosti enaki in služita za priklop računalnika v brezžično omrežje. Za montažo brezžične mrežne kartice je potrebno odpreti računalnik in vstaviti kartico v PCI režo, medtem ko USB vmesnik samo vtaknemo v USB vhod na ohišju računalnika in ni potrebno odpiranje ohišja. So pa ponavadi kartice nekoliko cenejše in imajo zunanjo anteno, ki jo lahko postavimo nekam na mizo oziroma tako, da je sprejem signala čim boljši. V primeru prenosnikov ima večina (novi praktično vsi) brezžični vmesnik serijsko vgrajena.

1 kos UTP mrežnega kabla primerne dolžine za povezavo med ADSL vmesnikom in brezžičnim usmerjevalnikom

Konfiguracija brezžičnega usmerjevalnika:

Ko vzamemo nov brezžični usmerjevalnik iz škatle (zabojnika), ima privzeto nastavljene tovarniške nastavitve. To v praksi pomeni, da praktično nima nobene vklopljene zaščite, administratorska gesla za posamezne naprave, oziroma določene modele istega proizvajalca, so prosto dostopna na internetu in znana, prav tako IP naslov naprave. Čeprav je zadeva verjetno po pravilnem priklopu lahko povsem funkcionalna in smo čez nekaj minut že brezžično v internetu, pa to pomeni, da enako velja tudi za vse tiste, ki naš radijski signal v okolici lovijo.

Po mojih izkušnjah je za začetnika manjši problem pri nastavitvah tudi običajno zanič prevedena, slaba dokumentacija, kopirana postrani tako, da je težko berljiva in z minimalno besedila. Verjetno večina uvoznikov z prevedeno dokumentacijo samo zadosti minimalnim zakonskim pogojem, ostalo jih kaj malo briga.

Vsi brezžični usmerjevalniki kar sem jih v praksi videl, so imeli za konfiguracijo vgrajen web strežnik in podporo za samodejno konfiguracijo TCP/IP omrežja prek DHCP protokola. Zato tak usmerjevalnik z mrežnim UTP kablom priklopimo na mrežno kartico računalnika (prek LAN priključka na usmerjevalniku) ter poskrbimo v nastavitvah računalnika, da imamo za lokalno omrežje in Internet protokol nastavljeno, da samodejno dobi IP naslov, kot prikazuje spodnja slika (za primer XP izberemo Nastavitve, Omrežne povezave, Local Area Connection):

Tako dobi računalnik IP naslov iz istega omrežja, kot je IP naslov usmerjevalnika.

Tu je morda klasično vprašanje, kako ugotoviti IP naslov usmerjevalnika, če ni pri roki dokumentacije.

Najhitreje po moje tako, da v ukazni konzoli (cmd) vtipkamo ukaz ipconfig in pogledamo IP naslov računalnika, dobljen prek DHCP iz usmerjevalnika, ter masko omrežja. Recimo da je IP naslov 192.168.1.100 ter maska omrežja 255.255.255.0 (klasa C). Običajno je potem iskani IP naslov prve leve tri številke IP naslova računalnika, plus na koncu 1. V tem primeru 192.168.1.1

Drugi način deluje, če smo že uspešno konfigurirali WAN dostop v Internet. V tem primeru lahko v ukazni konzoli vpišemo (internet naslov je lahko poljuben):

ping -r 1 http://www.najdi.si

in dobimo odgovor v obliki:

Reply from XX.XX.XX.XX: bytes=32 time=100ms TTL=56
Route: 192.168.0.1

Pri čemer je IP naslov za Route: naslov našega usmerjevalnika.

Naslednji korak je konfiguracija usmerjevalnika.

Ponavadi pride zraven na CDju že programska oprema, ki vodi s pomočjo čarovnikov uporabnika prek osnovnih nastavitev, druga možnost je, da pogledamo v dokumentacijo, kakšen je privzeti IP naslov usmerjevalnika (recimo 192.168.1.1) in ta naslov vpišemo v brskalnik, ki potem naloži spletno stran za konfiguracijo. Običajno je potrebno iz dokumentacije ugotoviti še geslo, da lahko spreminjamo nastavitve.

Sedaj pa k zaščiti brezžične dostopne točke.

1. Sprememba gesla usmerjevalnika

To jaz spremenim kot prvo. Pametno je izbrati kakšno naključno geslo, recimo vsaj 8 znakov. Namreč privzeta gesla nove naprave so znana, dostopna na internetu in vsakdo, ki ima dostop do našega lokalnega omrežja in ve to geslo, nam lahko popravi (prej pokvari) nastavitve usmerjevalnika. Spremenjeno geslo si je pametno zapisati na papir in spraviti na varno mesto, ker ga bomo morda potrebovali šele čez leta in zanesljivo pozabili.

2. Spremenimo SSID (Service Set Identifier)

To je ime omrežja, ki se pojavi na računalnikih, ki jih želimo priklopiti brezžično v Internet in so znotraj dometa brezžične točke. Če pustimo kar privzeto ime, potem morebitnemu hekerju damo jasno vedeti, s kakšno napravo ima opravka in tudi to, da zelo verjetno nismo spremenili osnovnih nastavitev in zaščitili omrežja. Morda za zasebno dostopno točko ni tudi pametno, da damo takšno ime, da lahko sosedje takoj ugotovijo, čigava je, recimo SSID: ONYX.

Usmerjevalniki imajo tudi možnost nastavitve, da onemogočimo pošiljanje imena SSID (disable SSID broadcast), kar potem pomeni, da omrežje ni vidno in za priklop potrebujemo vedeti ime omrežja. Vklop tega pomeni za večino naključnih obiskovalcev to, da za brezžično omrežje sploh ne vedo da obstaja.

3. Vklopimo šifriranje WPA

To je ključni del zaščite, ker z vklopom šifriranja zaščitimo omrežje pred prisluhi ter damo jasno vedeti sosedom in naključnim mimoidočim, da je to zasebno omrežje, ki potrebuje za dostop geslo.

Glede same izbire šifriranja imamo na voljo več možnosti, ker se standardi na tem področju izpopolnjujejo. Starejši je recimo WEP, ki ne nudi dovolj zaščite in ne vidim razloga, da bi ga uporabljali, razen če se v omrežju nahaja kakšen računalnik, ki podpira samo WEP. V tem primeru druge možnosti ni, ker je potrebno na usmerjevalniku vklopiti zaščito, ki je »najmanjši skupni imenovalec« vseh računalnikov (wi-fi vmesnikov), ki se bodo brezžično povezovali.

Danes običajna izbira je WPA-PSK, kjer izberemo geslo za dostop do omrežja. Daljše in bolj naključno generirano je geslo, varnejše bo omrežje pred morebitnim hekerskim vdorom. Laike pa običajno odvrne že povsem običajno, razumno dolgo geslo. Namreč za razbitje kode obstajajo programi, vendar počnejo to s pomočjo metode »brute force attack«, kar pomeni, da poizkušajo geslo uganiti s pomočjo nekih algoritmov. Vsekakor pa časovno zamudna operacija, ki je tudi kazniva, saj gre za vdiranje v tuje omrežje.

Najnovejša metoda kodiranja se imenuje WPA2 in je še težja, za vdore, vendar pa ne podpira vsa oprema tega standarda (XP SP2 recimo potrebuje popravek za podporo temu standardu).

4. Opcijsko vklopimo MAC filtriranje

Ta zaščita temelji na dejstvu, da ima vsak omrežni vmesnik (wi-fi, LAN…) različno tovarniško nastavljeno hexadecimalno kodo, ki je nekakšen »unique« identifikator mrežnega vmesnika. Tako lahko v usmerjevalniku nastavimo, da samo računalniki s točno določenim MAC naslovom lahko uporabljajo brezžično točko.

Če želimo pogledati MAC naslov LAN vmesnika na računalniku z XP zaženemo Start in run ter vpišemo cmd ter stisnemo Enter, da pridemo v konzolo. Tu vpišemo ukaz ipconfig /all, ki nam med drugim izpiše tudi fizični naslov (MAC) v obliki 00-A1-4B-56-77-B2.

Ta naslov potem vpišemo v usmerjevalnik in mu s tem povemo, da samo ta računalnik(i) lahko dostopa brezžično prek te točke.

Problem te metode pa je v tem, da je potrebno vpisovati ročno MAC naslove, kar se takoj zaplete, ko dobimo nekoga na obisk s prenosnikom in bi šel rad prek naše brezžične točke v internet. Da ne govorim o primerih, ko se pokvari matična plošča na kateri je vgrajena mrežna kartica in po zamenjavi nihče več ne razume, zakaj povezava ne deluje več (ker je drug MAC naslov op.ur.). Po moje nepotrebna komplikacija, če je nastavljeno šifriranje, poleg tega se da tudi MAC naslov s posebno programsko opremo poljubno spremeniti in torej usposobljenega hekerja nikakor ne zaustavi pred udorom.

Preberi še:
– Fonerosi by Onyx
– Wardriving oprema by ravbarji in žandarji

Se želiš naročiti na blog?

Značke: Nasveti, WI-FI, WPA