[x] Drogi Czytelniku, wygląda na to, że korzystasz z oprogramowania blokującego wyświetlanie reklam. Wyświetlane tu reklamy nie mają inwazyjnej formy i nie utrudnią Ci nawigacji, a środki z reklam pozwalają mi utrzymać serwis i pomagają w jego dalszym rozwoju. Z góry dziękuję za wyrozumiałość.

Bezpieczeństwo sieci WiFi

6

WlanWitam ponow­nie. W tym arty­kule pra­gnę przy­bli­żyć bez­pie­czeń­stwo bez­prze­wo­do­wych sieci WLAN. Nie­stety wiele osób zapo­mina o pod­sta­wo­wej kwe­stii jaką jest usta­wie­nie choćby klu­cza szyfrowania.

Zapra­szam do lektury

Dla­czego o tym zapominamy?

Powo­dów zapo­mi­na­nie o zabez­pie­cza­niu sieci bez­prze­wo­do­wych jest dużo. W mojej oce­nie naj­czę­ściej zda­rza­jący się to taki, że osoba kupuje router do podzie­la­nia łącza kablem, zapo­mi­na­jąc, że posiada on moduł WiFi który w tym wypadku nale­żało by wyłą­czyć. Inny powód to po pro­stu nie­wie­dza, osoby nie wie­dzą, że ktoś może się połą­czyć z ich sie­cią i na ich konto popeł­nić np. prze­stęp­stwo lub (z mniej bru­tal­nych) pod­słu­chi­wać je.

Z wycieczką po mieście

Posia­dam tele­fon wypo­sa­żony w WLAN. Koło mojej szkoły jest sieć bez­prze­wo­dowa. Połą­cze­nia się z nią nie uwa­żał­bym za wykro­cze­nie, ponie­waż ist­nieje druga sieć o tej samej nazwie z szy­fro­wa­niem zatem zakła­dam, że ta jest poka­zowa ale o pra­wie póź­niej.
Spa­ce­ru­jąc po moim mie­ście można natknąć się na dużo nie­za­bez­pie­czo­nych sieci. Ba, nie­które nawet nie mają zmie­nio­nej nazwy tak więc mamy do czy­nie­nia z „default” czy „dlink”. Zaob­ser­wo­wa­łem, że jedna z sieci poja­wia się tylko koło ronda i skrzy­żo­wa­nia ze świa­tłami. Zasta­no­wi­łem się i zauwa­ży­łem, że w tych miej­scach są poli­cyjne kamery. Sieć ma nazwę „nadaj­nik” (odpo­wied­nio z małej lub dużej litery) oraz jest … bez szy­fro­wa­nia (: Czyżby ukryta moż­li­wość spraw­dza­nia czy jeste­śmy w zasięgu poli­cyj­nej kamery? :) Na temat skut­ków takiej moż­li­wo­ści nie trzeba się rozwodzić.

Inny zabawny przy­kład to sieć „HotSpot_RCPIK”, fajny jest bo ma zasięg duży, po połą­cze­niu tra­dy­cyjna strona hot­spota połą­czy­łeś się z ble­ble­ble. Co tu zabaw­nego? A no to, że obok niej jest druga sieć „RCPIK” zapewne do użytku wewnętrz­nego tej insty­tu­cji, ta sieć rów­nież nie ma żad­nych zabez­pie­czeń!
No ale moje mia­sto jest zaco­fane, prze­nie­śmy się na chwilę do innego (byłem na wycieczce szkolnej).

Po doje­cha­niu oka­zało się, że tu poziom wie­dzy jest więk­szy. Mimo spo­ty­ka­nia domyśl­nych nazw sieci mają one choćby szy­fro­wa­nie. W Cine­ma­City spo­tkamy Hot­Spota z któ­rego mamy prawo korzy­stać po zaku­pie „fili­żanki szyb­kiego Inter­netu” (kawy). Ale nie musimy kupo­wać, działa on nor­mal­nie. Jego spryt polega na tym, że w sali ekra­no­wej już jego zasięg nie sięga, nie sięga on także za drzwiami Cine­ma­City. Spa­ce­ru­jąc dalej spo­tkamy różne Hot­Spoty jedne fajne, inne głu­pie wyma­ga­jące np zare­je­stro­wa­nia się. Strony reje­stra­cyjne nie są zbyt­nio mobile-friendly dla­tego dałem im spokój.

screenshot0030screenshot0026

Widzimy tutaj także Ukryty WLAN, ale o tym za chwilę.

Prawo

Pamię­tajmy, że tak samo jak otwarte drzwi do domu nie sta­no­wią zezwo­le­nia na wła­ma­nie, tak nie­za­bez­pie­czona sieć rów­nież nie sta­nowi zezwo­le­nia na pod­łą­cze­nie się do niej. Nie powin­ni­śmy łączyć się z sie­cią bez­prze­wo­dową gdy nie mamy na to pozwo­le­nia jej wła­ści­ciela lub gdy nie zawiera w nazwie słowa „hotspot”

Jak się zabezpieczyć?

Krót­kie wytyczne na temat zabez­pie­cza­nia się.

  • Nie ukry­waj WLANu — Utrud­nisz tylko sobie pracę! Sieć nadal będzie widoczna, co widać na obraz­kach wyżej. Fakt, będzie trzeba poznać jej nazwę ale nie jest to trudne na pod­sta­wie ana­lizy pakie­tów wysy­ła­nych za jej pośrednictwem
  • Nie zmniej­szaj zasięgu — Także utrud­nisz sobie tylko pracę. Twoje urzą­dze­nie na rogu domu będzie gubić zasięg a osoba chcąca wła­mać się, może to zro­bić nawet na pod­sta­wie naj­słab­szego sygnału
  • Użyj sil­nego szy­fro­wa­nia — WEP to za mało. Można go łatwo zła­mać, sta­raj się uży­wać moc­nego szy­fro­wa­nia ze skom­pli­ko­wa­nym klu­czem. Pole­cam WPA2
  • Wyłącz zdalny dostęp do routera — Zdalne zarzą­dza­nie nie jest ci praw­do­po­dob­nie potrzebne. Uła­twia ono tylko ata­ku­ją­cemu pró­bo­wa­nie wła­ma­nia do two­jego urzą­dze­nia, może to robić spo­koj­nie u sie­bie w domu.
  • Fil­truj MAC urzą­dzeń — To usta­wie­nie w połą­cze­niu z usta­wie­niem naj­sil­niej­szego szy­fro­wa­nia da Ci na chwilę obecną naj­lep­szą ochronę. Fil­tra­cja MAC urzą­dzeń ma na celu nie dopu­ścić urzą­dze­nia z poza listy do nawią­za­nia połą­cze­nia — oczy­wi­ście można to obejść jed­nak w połą­cze­niu z szy­fro­wa­niem WPA2 jest to utrudnione.

Zale­cam do zasto­so­wa­nia się do wszyst­kich wyżej wymie­nio­nych wytycz­nych. Oso­bi­ście u sie­bie mam wyłą­czony także ser­wer DHCP i połą­cze­nie się z moją sie­cią wymaga poza klu­czem szy­fro­wa­nia i MACem na liście auto­ry­zo­wa­nych zna­jo­mo­ści struk­tury IP sieci (cho­ciażby IP bramy)
Jak tech­nicz­nie prze­pro­wa­dzić kon­fi­gu­ra­cję dowiesz się z instruk­cji swo­jego urzą­dze­nia. Na 99% będzie to panel przez stronę WWW.

Pod­su­mo­wa­nie

Pod­su­mo­wu­jąc. Nie możemy igno­ro­wać zabez­pie­cza­nia sieci WiFi. Daje to zbyt duże moż­li­wo­ści dzia­ła­nia na nasze konto innym oso­bom. Jeśli kupu­jemy router do podzie­le­nia sieci tylko kablem warto wyłą­czyć sieć WiFi zamiast ją zabez­pie­czyć. Oszczę­dzimy wtedy np. czas. W prze­ciw­nym razie kiedy sieci uży­wamy musimy ją koniecz­nie zabez­pie­czyć. I to naj­le­piej w mocny spo­sób, tak aby była trudna do zła­ma­nia. Zaawan­so­wani mogą poku­sić się o ręczną kon­fi­gu­ra­cję IP, będzie to raczej utrud­nie­niem dla osoby łączą­cej się niż zabez­pie­cze­niem, oso­bi­ście uwa­żam, że ręczna kon­fi­gu­ra­cja jest łatwiej­sza w zarzą­dza­niu. Jeśli komuś naprawdę się nie chce gło­wić nad moc­nymi klu­czami, niech to jesz­cze raz prze­my­śli, albo ustawi cho­ciaż jakie­kol­wiek szy­fro­wa­nie. Ode­tnie w ten spo­sób cho­ciażby użyt­kow­ni­ków tele­fo­nów z WLA­Nem od swo­jej sieci (przy­kła­dowo Sym­bian nie ofe­ruje narzę­dzi do wła­my­wa­nia się). Oczy­wi­ste jest prze­cież, że tele­fon łatwiej ukryć niż lap­topa z któ­rym się stoi przed czy­jąś pose­sją dla­tego tele­fon może czę­ściej słu­żyć do wstęp­nego „zeska­no­wa­nia” obec­no­ści sieci w okolicy :)

Liczę na to, że arty­kuł się komuś przy­dał lub przyda.
Zapra­szam do dyskusji


Zobacz inne ciekawe wpisy:

  • Wszystkie na stronie głównej :)

Fajny wpis? Podziel się:

  • http://Custom.Name Custom

    Myślę, że rady w przy­szło­ści będą mi potrzebne ^^
    Insta­lują nadaj­niki Wi-Fi na wieży kościoła, więc będzie dar­mowy Internet ;]

  • Jakub ‘Kubo­fo­ni­sta’ Furman

    Nie koniecz­nie dar­mowy. Może być zabez­pie­czony. Btw, tu nie opi­sa­łem jak się łączyć z zabez­pie­czo­nymi sie­ciami więc może ci się nie przy­dać. Btw jako cie­ka­wostkę dodam, że poprzedni wpis uzy­skał 200 odwie­dzin z Blipa ;)

  • http://eriz.pcinside.pl/weblog eRIZ

    To usta­wie­nie w połą­cze­niu z usta­wie­niem naj­sil­niej­szego szy­fro­wa­nia da Ci bez­pie­czeń­stwo na obecną chwilę nie do zła­ma­nia. Fil­tra­cja MAC urzą­dzeń ma na celu nie dopu­ścić urzą­dze­nia z poza listy do nawią­za­nia połączenia

    3 klik­nię­cia i zmie­nię MAC. Wystar­czy nasłu­chać nieco pakie­tów i jakie­goś MAC-a można zdo­być. Więc to nie jest zabezpieczenie.

    według opi­nii które zasły­sza­łem jest na obecną chwilę nie do złamania.

    Zmień opi­nie. :P

    Na chwilę obecną, naj­lep­szym wyj­ściem jest połą­cze­nie kilku metod:

    fil­tra­cja MAC
    nie­stan­dar­dowa klasa IP (to to może być i żadne zabez­pie­cze­nie, w sumie dodat­kowa łami­główka ;))
    zapo­mi­namy o DHCP
    VPN i odcię­cie dostępu do zaso­bów bez połą­cze­nia
    o WPA2 nie wspomnę

  • http://kubofonista.net Jakub ‘Kubo­fo­ni­sta’ Furman

    @erizOwszem mac spo­ofing ist­nieje ale trzeba jesz­cze się poba­wić w pod­słu­chi­wa­nie ;)Co do VPN może być chyba także PPPoE, ale posze­dłeś za daleko w przód. VPN + chęć łącze­nia się z sie­cią np. przez Sym­biana = fail

  • Jakub ‘Kubo­fo­ni­sta’ Furman

    @eriz
    Owszem mac spo­ofing ist­nieje. Co do wychwy­ce­nia jakie­goś MAC-a, napi­sa­łem że według zasły­sza­nej opini. Tj. czy­ta­łem o tym w jakiejś gazetce, że przy WPA2 + MAC nie można posza­leć na pod­słu­chu ani wychwy­cić MAC’a ale mogło się to zmie­nić lub mogli źle tam napisać.

    Co do VPN może być chyba także PPPoE, ale posze­dłeś za daleko w przód. VPN + chęć łącze­nia się z sie­cią np. przez Sym­biana = fail

  • http://blog.custom.name Custom

    Porad­nik jak naj­bar­dziej pomógł mi zabez­pie­czyć swoją sieć Wi-Fi ;)

© Kubofonista HomePage. All rights reserved.  
Icons: Sylwia Besz | Design: Theme Junkie.