DOMÁCÍ WIFI BEZDRÁTOVÁ SÍŤ

Tento článek rozebírá metody zabezpečení domácí bezdrátové sítě.

Pinnacle Studio

Dotazy

Co se nevešlo

..Bezpečnost WIFI sítě

Běžná domácí wifi síť pravděpodobně neobsahuje data, která by byla pro hackery extrémně zajímavá. Není zde obvykle k mání ani archiv KGB, ani nějaké průmyslové tajemství. Přesto na nás může někdo prostřednictvím špatně zabezpečené wifi sítě zaútočit - v tomto případě ale pravděpodobně bude pachatelem šikovný sousedův syn, který se snaží vyzkoušet metody, o kterých se někde dočetl a ne nějaký profesionální hacker.

Pro potřeby tohoto článku rozdělím zabezpečení domácí wifi sítě do tří oblastí, které spolu ovšem v mnoha ohledech souvisejí nebo se dokonce překrývají. Pořadí volím podle pravděpodobné četnosti útoků:

1. Krádež konektivity

My platíme účty za internet, ale soused si na naše náklady zadarmo stahuje z internetu filmy. S tímto může být spokojený soused, ale pro každého nás to je předpokládám nežádoucí.

2. Odposlech našeho internetového provozu

Není asi příliš žádoucí, aby se nějaký puberťák chichotal nad obsahem našich mailů, případně si přímo odposlechl hesla do emailových schránek nebo na FTP server.

3. Útok na náš počítač

Data na našem HDD jsou naše a nikomu jinému po nich nic není. Máte snad jiný názor?

Metody ochrany WIFI sítě:

WPA nebo WPA2 šifrování provozu sítě

Pomineme-li řízení šifrování pomocí radius serveru, které v domácích podmínkách není zrovna časté, je nejlepším a už samo o sobě postačujícím způsobem zabezpečení šifrování dat podle standardu WPA nebo WPA2. Podmínkou bezpečnosti je ovšem dostatečně silné PSK heslo.
Doporučuji heslo dlouhé alespoň 20 znaků, které obsahuje písmena, číslice a speciální znaky. (Například rodné číslo nebo číslo telefonu není dobré heslo...)
WPA poskytuje vynikající ochranu proti všem třem výše vyjmenovaným útokům.

Pokud ovšem některé z našich zařízení standard WPA nepodporuje, je situace daleko složitější.

Šifrování WEP

Existují bohužel způsoby, jak toto šifrování během několika desítek minut prolomit (například pomocí programu Aircrack). Je jedno, jestli použijeme 64-bitové nebo 128-bitové heslo statické nebo s rotací - výsledek je vždy stejný: pokud někdo bude chtít, do sítě chráněné WEP šifrováním se dostane.

Pokud jsme nuceni toto šifrování použít, je možno nasadit ještě doplňkové ochrany, ale upozorňuji předem - ani tak se nám nepodaří síť dokonale zabezpečit:

Kontrola MAC-adres

Oblíbenou a bohužel příliš přeceňovanou metodou je řízení přístupu pomocí MAC-adres. Proč přeceňovanou?
Téměř každý z nás dokáže pomocí programů typu Smac nebo přímo ve Windows změnit MAC-adresu svého počítače tak, aby byla totožná s naší MAC-adresou. Pokud si nastaví i stejnou IP-adresu, jaká je na našem počítači (tu si zjistí odposlechem paketů třeba pomocí programu CommViev for Wifi), nic mu již nebrání surfovat na náš účet. Pokud si vetřelec přivlastní identitu jednoho z našich počítačů, může zaútočit na jiný z našich počítačů.

Omezení území pokrytého signálem

Pokud leží všechny naše přijímače (počítače, AP v ežimu klient atd) v jednom směru od našeho AP, je možné s výhodou použít směrovou anténu. Případný útočník by musel být ve směru antény.

Skrytí SSID na AP

Opět oblíbená a bohužel opět přeceňovaná metoda. Je sice pravda, že bez znalosti SSID se není možno k síti připojit, ale i když SSID skryjeme, je možné ho pasivním odposlechem odhalit obvykle během několika minut (například programem Airmon, součást Aircracku). Podmínkou je jenom to, aby na naší síti byl nějaký provoz.

Vypínání WIFI v době, kdy ho nepoužíváme

Když je AP vypnutý, nikdo nám nemůže krást konektivitu. Je to trochu nepraktické, ale účinné.

Použití neobvyklých rozsahů IP-adres / masek

Pokud použijeme masku sítě například 255.255.128.0, může to vetřelce trochu zmást.


Další metoda ochrany proti odposlechu provozu již přímo nesouvisí s WIFI, je možné ji použít i u kabelových připojení:

Šifrovaný VPN-tunel

Princip: na našem počítači si nainstalujeme speciální klientský software, který zajistí, že naše data, která by za normálních okolností putovaly například přímo na náš poštovní server, jsou nejprve poslány v zašifrované podobě na VPN server, který je pak pošle dále. Odpovědi přijme opět VPN-server a pošle nám je do počítače v zašifrované podobě. Příkladem takového SW je například VPN Anonymizer od firmy 2GM.
Teoreticky může naše data někdo zachytit na trase mezi VPN serverem a cílovým serverem, dá se ale očekávat, že na druhém konci republiky nebudou naše data nikoho až tak moc zajímat.