Na pohybel hakerom - bezpieczne Wi-Fi

Testowaliśmy już ruteromodemy neostrady tp, jeździliśmy po Warszawie w poszukiwaniu kiepskich zabezpieczeń, słowem: biliśmy na alarm. Nadszedł czas odpokutowania za wszystkie grzechy: stajemy po drugiej stronie barykady i pomagamy we właściwym zabezpieczeniu sieci Wi-Fi. Uporządkowaliśmy zbiór porad od najważniejszych i kluczowych w kwestiach bezpieczeństwa, do tych mniej istotnych, ale dodających dodatkową warstwę. Pierwsze trzy kroki każdy posiadacz sieci bezprzewodowej czy urządzenia wielofunkcyjnego (ruter Wi-Fi) musi przejść - jeśli tylko chce się czuć bezpiecznie. Co z pozostałymi? Porad jest dziesięć, jak w dekalogu, możemy się więc do nich zastosować, ale nie musimy...

Wystarczyła krótka przejażdżka z laptopem i kartą Wi-Fi po Warszawie, by znaleźć kilkanaście niezabezpieczonych sieci, w których każda udostępniała przechodniom darmowy, szerokopasmowy dostęp do Internetu (patrz artykuł: "Wardriving dla każdego"). Po półgodzinnym konfigurowaniu laptopa byliśmy w stanie zwabić do naszego oszukanego hot-spota użytkownika, który cieszył się szybkim i niezakłóconym Internetem, a nam "sprzedawał" swoje rozmowy na GG i hasła pocztowe (patrz artykuł: "Wardriving dla każdego - część druga i ostatnia"). Szybka przebieżka po Internecie udowodniła nam, że podpinane do Sieci urządzenia - w tym modemy DSL z ruterami wykorzystywane bardzo często w usłudze neostrada tp - nierzadko nie korzystają z żadnych zabezpieczeń (patrz artykuł: "Jak łatwo być intruzem"). Pojawiły się prośby o pokazanie poprawnej konfiguracji zabezpieczeń. Ten poradnik stanowi na nie odpowiedź.

Zakładamy, że wszystkie urządzenia zostały już podłączone i skonfigurowane do wspólnej pracy. Wcielamy się w rolę speca od zabezpieczeń, przypominamy sobie model cebuli (= im więcej warstw zabezpieczeń, tym lepiej) i... zaczynamy.

Po pierwsze: zmień nazwę i hasło

Konfiguracja SSID-a w urządzeniu LinksysaKliknij, aby powiększyćKonfiguracja SSID-a w urządzeniu LinksysaUrządzenia Wi-Fi skonfigurowane są do rozgłaszania identyfikatora sieci (tzw. SSID). Wielu użytkowników pozostawia nazwę przydzieloną przez producenta, czyli np. "DI-524" albo "linksys". Teoretycznie rozgłaszanie domyślnej nazwy nie powinno nam zaszkodzić, jednak dla potencjalnych włamywaczy jej obecność stanowi bardzo cenną wskazówkę. Widzą oni mianowicie, z jakim sprzętem mają do czynienia i jak z nim postępować. Gdyby SSID został zmieniony na inny, np. "Siec_domowa", ich praca byłaby dużo trudniejsza. Zwłaszcza, że użytkownik, który nie zmienił SSID-a z pewnością nie zmodyfikował także domyślnego loginu i hasła...

Po drugie: włącz zabezpieczenia

Konfiguracja routera DI-524 firmy D-LinkKliknij, aby powiększyćKonfiguracja routera DI-524 firmy D-LinkJeśli uważnie dokonywaliśmy zakupów, nasze urządzenia będą potrafiły współpracować z protokołem WPA. Pamiętajmy, karty i punkt dostępowy obsługują WPA, koniecznie trzeba go włączyć. Zwykle mamy też wtedy możliwość ustawienia jednej z dwóch metod szyfrowania: TKIP (Temporal Key Integrity Protocol), która zapewnia wyższy poziom bezpieczeństwa oraz AES (Advanced Encryption System).

W przypadku starszych urządzeń pozostanie nam tylko WEP o długości klucza 40(64) lub 104(128) bitów. Nie jest to najnowsza technologia - do jej złamania wystarczy zwykle od godziny do kilku dni - ale jeśli nie mamy pod ręką niczego innego, skorzystajmy z niej. Brak szyfrowania to proszenie się o kłopoty: wszystkie nasze dane lecą w takim wypadku czystym tekstem, ich przechwycenie to kwestia podejścia pod dom z laptopem albo ukrytym w kieszeni PDA.

Konfiguracja stacji roboczychKliknij, aby powiększyćKonfiguracja stacji roboczychTeraz musimy dostosować maszyny klienckie, czyli stacji robocze z kartami Wi-Fi. Wybieramy właściwości połączenia sieci bezprzewodowej, następnie na zakładce Sieci bezprzewodowe klikamy nazwę naszej sieci i wybieramy Właściwości. Z list rozwijalnych wybieramy rodzaj uwierzytelniania (WPA-PSK) oraz metodę szyfrowania (TKIP). Pozostaje nam jedynie wpisać i potwierdzić klucz sieciowy. Po zatwierdzeniu wprowadzonych zmian powinniśmy na liście dostępnych sieci zauważyć, że jest ona w tej chwili zabezpieczona poprzez WPA.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.