Mobilno RSS Facebook Twitter E-novice Nastavi za domačo stran Dodaj med priljubljene Podcast Rock Radio Pozabljeno geslo Registriraj se Prijava facebook_connect.gif



  • A- A+

13.07.2018      12:00
|
WiFi doma in v manjšem podjetju

Je vaše brezžično omrežje res varno?

  • A- A+

 

Varnost brezžičnega omrežja naj se ne zanaša le na geslo. Pripravili smo par nasvetov, ki vam bodo omogočili mirnejši spanec...

Brezžično omrežje je zelo priljubljena vstopna točka hekerjev in drugih napadalcev, saj jim omogoča, da pridobijo dostop do omrežja in podatkov ne da bi prestopili prag zgradbe ali našega doma. Zato se spodobi, da ga ustrezno zavarujemo in jim delo kar se da otežimo. Varnost brezžičnega omrežja ni odvisna le od kakovosti postavljenega gesla, varnostni strokovnjaki priporočajo tudi naslednje ukrepe:

 

Ime omrežja (SSID) je pomembno

Med nastavitvami brezžičnega omrežja navadno vedno najprej izberemo ime svojega omrežja. Čeprav se zdi, da ime nima neposredne povezave z varnostjo, to ne drži. Ime omrežja naj bo tako, da ne razkriva, kje se le-to nahaja, morebiti je celo bolje, da se predstavlja kot manj zanimiva tarča. Primer: omrežje »Pisarna« bo za potencialnega napadalca bistveno bolj zanimivo od omrežja, poimenovanega »Dedekinbabica«. Varnostni strokovnjaki svetujejo, da splošnih imen, kot npr. »wireless« in tovarniških nastavitev ne uporabljamo, saj s tem napadalcem olajšamo delo – sploh če poznajo ranljivosti posameznih omrežnih naprav.

 

Enkripcija omrežja: izberite najzahtevnejšo možnost

Brezžična omrežja poznajo vrsto različnih varnostnih mehanizmov. Eden najbolj učinkovitih je enkripcija. Izberete lahko le enega izmed možnih načinov enkripcije (beri: šifriranja) povezave, zato izberite najzahtevnejšega med njimi – WPA2 z avtentikacijo 802.1X.

 

Vsak uporabnik naj ima svoje geslo

V nastavitvah šifriranja povezave obstajata tipično dve možnosti – poslovna in domača. Poslovna rešitev v večini nastavitev usmerjevalnikov in dostopnih točk sliši na ime »Enterprise mode« (ali Enterprise WPA2, tudi WPA2-EAP), od domače »Personal mode« pa se loči po tem, da omogoča avtentikacijo vsakega uporabnika posebej – vsak uporabnik brezžičnega omrežja ima torej svoje uporabniško ime in geslo. To ni uporabno le v poslovnih okoljih, kjer skrbnik omrežja ob ukradeni napravi ali če zaposleni zapusti podjetje, preprosto ukine njegovo uporabniško ime, temveč tudi pomeni, da lahko napadalec, ki se je uspel polastiti enkripcijskega ključa, še vedno lahko pregleduje le promet zlorabljenega uporabnika, ne pa tudi drugih. V poslovnih okoljih z več uporabniki skrbniki omrežja pogosto postavijo namenski avtentikacijski strežnik RADIUS in ga povežejo z aktivnim imenikom (AD) uporabnikov.

Če oprema omogoča, nastavite tudi Unicast in Group Ciphers na AES (ali AES CCM) ter onemogočite TKIP kriptiranje. AES je novejši način odiranja, ki ima manj znanih ranljivosti. Dodatna prednost je, da je kodiranje in dekodiranje AES protokola v dražji opremi rešeno s strojnimi pospeševalniki in je zato delovanje WiFi na koncu hitrejše.

 

Kaj pa če imam Mikrotik usmerjevalnik ali AP?

Doma seveda ne bomo vzpostavljali radius strežnikov ali AD infrastrukture, lahko pa z opremo določenih proizvajalcev dosežemo podobne rezultate.

Če imate usmerjevalnik podjetja Mikrotik, lahko vsaki napravi, glede na njen MAC naslov brežžične kartice, dodelite svoje WPA2 geslo.

To ni uporabno zgolj za preprečevanje vdorov, ampak tudi za bolj domače zadeve, kot je recimo omejevanje uporabe računalnikov za otroke in podobno. Gesla lahko namreč veljajo le v določenih časovnih obdobjih dneva.

Namig: to storitev v meniju Wireless, zavihek Access List. Vnesite MAC naslov WiFi naprave, ki se povezuje, ter unikatno geslo za to napravo, ter opcijsko čase, v katerih naj to velja. Seveda otrokom potem ne smete izdati privzetega gesla tega omrežja, ampak le teg, ki ga tu nastavite..

 

 

Uporabite močno geslo

Strokovnjaki priporočajo uporabo dolgih alfanumeričnih gesel (beri: gesel, sestavljenih iz črk in številk), a te si ljudje težko zapomnimo. Ali pa tudi ne. Čeprav varnostni strokovnjaki odsvetujejo uporabo posameznih besed, ki se nahajajo v slovarju, saj to olajša delo napadalcem, pa kombiniranje več besed in številk ter drugih znakov pomaga ustvariti bistveno močnejše geslo, ki si ga še vedno lahko zapomnimo. Močna gesla so: krokodil?=55banan, čevap18!burek, N3p0v3MG3$L4 in podobna.

 

Za še naprednejšo varnost uporabljajte certifikate

Čeprav je način Enterprise WPA2 med najvarnejšimi, še vedno premore nekatere ranljivosti, npr. lahko je tarča t. i. man-in-the-middle napada, kjer se napadalec predstavi kot naše omrežje in skuša ukrasti podatke za prijavo. Z uporabo funkcije verifikacije certifikatov (avtentikacija 802.1X) pa bo uporabnikova naprava (če to seveda podpira) najprej preverila, ali komunicira s pravim strežnikom (RADIUS) in šele nato poslala ustrezne podatke za prijavo v brezžično omrežje.

 

Ne pozabite na fizično varovanje opreme

Brezžična varnost nima opraviti le s sodobnimi tehnologijami in protokoli. Tudi najboljša enkripcija in močno geslo nam bosta bore malo pomagala, če se bo napadalec fizično prebil do našega brezžičnega usmerjevalnika ali dostopne točke ter ga/jo ponastavil na tovarniške nastavitve. Zato imejte vedno v mislih tudi fizično varnost, obravnavajte jo kot eno mogočih ranljivosti. Terminalsko opremo zato namestite izven dosega povprečnih uporabnikov in če se da, omejite fizični dostop do gumbov in vmesnikov naprave.











KOMENTIRAJ

X



ANKETA
Arhiv anket

Na katerem od naštetih portalov preživite največ časa?







>>
Koliko časa zapravite na YouTubu?

ZADNJE RAČUNALNIŠKE TEŽAVE IN REŠITVE

ZADNJE KOMENTIRANE NOVICE

Priljubljeni Winamp se je ponovno vrnil med ž... 1
Potato  |  Kje je fora da sploh nehajo razvijat tak...
OnePlus razvija lastno pametno televizijo
Jan.Ethelwulf  |  Pisec tega članka ni opravil mature iz s...
Vse več uporabnikov zapušča Facebook 4
boris  |  Je kar zelo veliko uporabnikov
Vse več uporabnikov zapušča Facebook 4
boris  |  Fb največje sranje kar jih obstaja. Že s...
Katastrofalen začetek za Android Pie 1
skeptik  |  Jooooj, kolk ste vi naivni. Za vsako raz...
RN KANAL




e-novice Želim brezplačno izdajo uredniškega izbora
najboljših računalniških novic na e-mail
Potrdi
(predogled)
(predogled)
(predogled)


100% skrbno bomo varovali vašo zasebnost in odnaročili se boste lahko kadarkoli!
Twitter




V zgornje okence vpišite vaš elektronski naslov, na katerega boste prejeli nadaljna navodila.

Mozilla Firefox

Kliknite na meni Orodja (Tools) in izberite Možnosti (Options)
V zavihku Splošno (Main) v polje Domača stran (Home Page) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Internet Explorer

Kliknite na meni Orodja (Tools) in izberite Internetne možnosti (Internet Options)
V zavihku Splošno (General) v polje Home Page (Domača stran) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Chrome

Hkrati pritisnite ALT+F in izberite Možnosti
V zavihku Osnove kliknite na gumb Uporabi trenutno stran
Kliknite na gumb Zapri

Netscape Navigator

Kliknite na meni Tools in izberite Options
V zavihku Main v polje Home Page vpišite naslov rn.si
Kliknite na gumb OK

Opera

Hkrati pritisnite CRTL+F12
Kliknite gumb »Use current«
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+","
Izberete zavihek General
Kliknite gumb »Set to current page«

Mozilla Firefox

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Shrani (Save)

Internet Explorer

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Dodaj (Add)

Chrome

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Končano (Finish)

Netscape Navigator

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Opera

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK