Je vaše brezžično omrežje res varno?

Brezžično omrežje je zelo priljubljena vstopna točka hekerjev in drugih napadalcev, saj jim omogoča, da pridobijo dostop do omrežja in podatkov ne da bi prestopili prag zgradbe ali našega doma. Zato se spodobi, da ga ustrezno zavarujemo in jim delo kar se da otežimo. Varnost brezžičnega omrežja ni odvisna le od kakovosti postavljenega gesla, varnostni strokovnjaki priporočajo tudi naslednje ukrepe:

Ime omrežja (SSID) je pomembno

Med nastavitvami brezžičnega omrežja navadno vedno najprej izberemo ime svojega omrežja. Čeprav se zdi, da ime nima neposredne povezave z varnostjo, to ne drži. Ime omrežja naj bo tako, da ne razkriva, kje se le-to nahaja, morebiti je celo bolje, da se predstavlja kot manj zanimiva tarča. Primer: omrežje »Pisarna« bo za potencialnega napadalca bistveno bolj zanimivo od omrežja, poimenovanega »Dedekinbabica«. Varnostni strokovnjaki svetujejo, da splošnih imen, kot npr. »wireless« in tovarniških nastavitev ne uporabljamo, saj s tem napadalcem olajšamo delo – sploh če poznajo ranljivosti posameznih omrežnih naprav.

Enkripcija omrežja: izberite najzahtevnejšo možnost

Brezžična omrežja poznajo vrsto različnih varnostnih mehanizmov. Eden najbolj učinkovitih je enkripcija. Izberete lahko le enega izmed možnih načinov enkripcije (beri: šifriranja) povezave, zato izberite najzahtevnejšega med njimi – WPA2 z avtentikacijo 802.1X.

Vsak uporabnik naj ima svoje geslo

V nastavitvah šifriranja povezave obstajata tipično dve možnosti – poslovna in domača. Poslovna rešitev v večini nastavitev usmerjevalnikov in dostopnih točk sliši na ime »Enterprise mode« (ali Enterprise WPA2, tudi WPA2-EAP), od domače »Personal mode« pa se loči po tem, da omogoča avtentikacijo vsakega uporabnika posebej – vsak uporabnik brezžičnega omrežja ima torej svoje uporabniško ime in geslo. To ni uporabno le v poslovnih okoljih, kjer skrbnik omrežja ob ukradeni napravi ali če zaposleni zapusti podjetje, preprosto ukine njegovo uporabniško ime, temveč tudi pomeni, da lahko napadalec, ki se je uspel polastiti enkripcijskega ključa, še vedno lahko pregleduje le promet zlorabljenega uporabnika, ne pa tudi drugih. V poslovnih okoljih z več uporabniki skrbniki omrežja pogosto postavijo namenski avtentikacijski strežnik RADIUS in ga povežejo z aktivnim imenikom (AD) uporabnikov.

Če oprema omogoča, nastavite tudi Unicast in Group Ciphers na AES (ali AES CCM) ter onemogočite TKIP kriptiranje. AES je novejši način odiranja, ki ima manj znanih ranljivosti. Dodatna prednost je, da je kodiranje in dekodiranje AES protokola v dražji opremi rešeno s strojnimi pospeševalniki in je zato delovanje WiFi na koncu hitrejše.

Kaj pa če imam Mikrotik usmerjevalnik ali AP?

Doma seveda ne bomo vzpostavljali radius strežnikov ali AD infrastrukture, lahko pa z opremo določenih proizvajalcev dosežemo podobne rezultate.

Če imate usmerjevalnik podjetja Mikrotik, lahko vsaki napravi, glede na njen MAC naslov brežžične kartice, dodelite svoje WPA2 geslo.

To ni uporabno zgolj za preprečevanje vdorov, ampak tudi za bolj domače zadeve, kot je recimo omejevanje uporabe računalnikov za otroke in podobno. Gesla lahko namreč veljajo le v določenih časovnih obdobjih dneva.

Namig: to storitev v meniju Wireless, zavihek Access List. Vnesite MAC naslov WiFi naprave, ki se povezuje, ter unikatno geslo za to napravo, ter opcijsko čase, v katerih naj to velja. Seveda otrokom potem ne smete izdati privzetega gesla tega omrežja, ampak le teg, ki ga tu nastavite..

Uporabite močno geslo

Strokovnjaki priporočajo uporabo dolgih alfanumeričnih gesel (beri: gesel, sestavljenih iz črk in številk), a te si ljudje težko zapomnimo. Ali pa tudi ne. Čeprav varnostni strokovnjaki odsvetujejo uporabo posameznih besed, ki se nahajajo v slovarju, saj to olajša delo napadalcem, pa kombiniranje več besed in številk ter drugih znakov pomaga ustvariti bistveno močnejše geslo, ki si ga še vedno lahko zapomnimo. Močna gesla so: krokodil?=55banan, čevap18!burek, N3p0v3MG3$L4 in podobna.

Za še naprednejšo varnost uporabljajte certifikate

Čeprav je način Enterprise WPA2 med najvarnejšimi, še vedno premore nekatere ranljivosti, npr. lahko je tarča t. i. man-in-the-middle napada, kjer se napadalec predstavi kot naše omrežje in skuša ukrasti podatke za prijavo. Z uporabo funkcije verifikacije certifikatov (avtentikacija 802.1X) pa bo uporabnikova naprava (če to seveda podpira) najprej preverila, ali komunicira s pravim strežnikom (RADIUS) in šele nato poslala ustrezne podatke za prijavo v brezžično omrežje.

Ne pozabite na fizično varovanje opreme

Brezžična varnost nima opraviti le s sodobnimi tehnologijami in protokoli. Tudi najboljša enkripcija in močno geslo nam bosta bore malo pomagala, če se bo napadalec fizično prebil do našega brezžičnega usmerjevalnika ali dostopne točke ter ga/jo ponastavil na tovarniške nastavitve. Zato imejte vedno v mislih tudi fizično varnost, obravnavajte jo kot eno mogočih ranljivosti. Terminalsko opremo zato namestite izven dosega povprečnih uporabnikov in če se da, omejite fizični dostop do gumbov in vmesnikov naprave.