Kako v nekaj korakih povečati varnost brezžičnih omrežij

Računalniška varnost in predvsem varnost brezžičnih omrežij sta nekaj, na kar včasih uporabniki radi pozabijo. Še posebej tisti, ki še nimajo slabih izkušenj z vdorom v njihove računalnike ali krajo gesel oziroma podatkov. Seveda pa je mnogo bolje preprečevati kot zdraviti, torej je potrebno na varnost misliti, še preden pride do vdora. Tokrat si bomo ogledali nekaj enostavnih nasvetov za vsaj osnovno varovanje brezžičnega omrežja in preprečevanje vdora.

Prva stvar, ki naj bi jo naredil vsak uporabnik, je zamenjava privzetega uporabniškega imena in gesla s svojim. Usmerjevalniki in dostopne točke imajo ob nakupu namreč tovarniško nastavljeno geslo, s katerim uporabnik dostopa do praktično vseh pomembnih nastavitev. Ta privzeta uporabniška imena in gesla so navadno enaka pri vseh napravah proizvajalca, zaradi česar potencialnemu napadalcu, ki ima vsaj malo znanja, ni težko vdreti v omrežje.

Naslednji korak je vključitev WPA ali WEP kodiranja oziroma enkripcije. Vsa brezžična oprema namreč omogoča vsaj en način kodiranja podatkov. Najbolje je seveda, da izberemo najboljše oziroma najmočnejše kodiranje, toda tega morata podpirati tako usmerjevalnik kot brezžična mrežna kartica pri sprejemniku. Zaradi tega je včasih potrebno izbrati nekoliko nižjo jakost kodiranja kot jo omogoča usmerjevalnik, saj se ta določa glede na “najšibkejši člen“, v tem primeru denimo glede na brezžično mrežno kartico uporabnika. Je pa tudi najnižja stopnja kodiranja vsekakor mnogo boljša kot nobena.

Ne pozabite niti zamenjati imena brezžičnega omrežja (SSID). Dostopne točke in usmerjevalniki namreč privzeto oddajajo ime omrežja, ki je navadno drugačno pri vsakem proizvajalcu, a še vedno generično in enako za večino modelov. Če za primer vzamemo Linksys – SSID brezžičnega omrežja njihovih brezžičnih usmernikov je “linksys”. To seveda še ne pomeni, da bodo lahko nepridipravi že samo s poznavanjem imena omrežja lahko vdrli vanj, a jim vsekakor olajša delo, saj tako že iz imena razberejo usmerjevalnik katerega proizvajalca ima uporabnik. Poleg tega pa je zanje to navadno znak, da je omrežje last neveščega uporabnika in verjetno ni dobro zaščiteno, kar ga naredi za še mikavnejšo tarčo za napad.

Sedaj smo naredili osnovne korake za zaščitno omrežja in čas je, da gremo na naslednjega. Filtriranje MAC naslovov. Vsak kos brezžične opreme ima sebi lasten in unikaten fizični naslov, poznan pod imenom MAC naslov. Dostopne točke in usmerjevalniki beležijo in spremljajo naslove, ki se priključijo ali poskusijo priključiti nanje. To lahko sebi v prid izkoristimo na ta način, da vklopimo filtriranje MAC naslovov in tako dostop dovolimo le določenim napravam. Vse, kar moramo poznati, je njihov MAC naslov, ki ga vpišemo v dostopno točko ali usmerjevalnik in od takrat naprej bo ta dostop do brezžičnega omrežja dovoljeval le tem napravam. To se zdi sicer idealna rešitev za vse zagate z brezžično varnostjo, saj bi teoretično na ta način lahko preprečili vsak nepooblaščen dostop. Žal pa stvari niso tako enostavne. Že vsak malo boljši heker lahko namreč s pomočjo posebnih programov ponaredi MAC naslov in tako dostopi do omrežja. Zaradi tega to vsekakor ne more biti edini način varovanja.

Še en korak k zagotavljanju večje varnosti omrežij je onemogočanje oddajanje imena omrežja (SSID). Dostopne točke in usmerjevalniki tega navadno oddajajo v rednih časovnih presledkih. To je seveda nujno pri dostopnih točkah, do katerih dostopa veliko različnih uporabnikov, denimo v lokalih. Ni pa to nujno pri domačih brezžičnih omrežjih, saj ko enkrat nastavimo vse odjemalce in jim ročno vpišemo ime omrežja, ti ne potrebujejo več SSID sporočil. Ko jih enkrat ne oddajamo več, tudi močno zmanjšamo možnost, da bi se nekdo nepooblaščeno hotel vključiti v naše omrežje, saj to ne bo vidno na njegovem seznamu brezžičnih omrežij v dosegu. Spretnejši hekerji bodo še vedno znali zaznati vaše omrežje, toda kljub temu smo s tem korakom precej zmanjšali možnost za vdor ali poskus vdora.

Pomembno je tudi, da pri svojem prenosnem računalniku ali pametnem telefonu onemogočite avtomatično povezovanje v odprta brezžična omrežja. Večina pametnih telefonov in prenosnih računalnikov ima namreč možnost avtomatičnega povezovanja v dosegljiva brezžična omrežja, brez da bi o tem obvestila uporabnika. Tako smo lahko nevede in po nepotrebnem izpostavljeni vdorom in napadom. Na srečo je ta funkcija privzeto izključena, a lahko se zgodi, da jo uporabnik vključi po pomoti oziroma nevede.

V dosedanjih korakih smo za varnost brezžičnega omrežja storili že veliko. Ampak kljub temu še nismo čisto pri koncu. Napravam moramo namreč še dodeliti statičen IP naslov. Večina domačih upravljavcev omrežij namreč uporablja dinamične IP naslove, preko DHCP protokola. Ta je enostaven za postavitev, a žal ravno tako prikladen za napadalce, ki tako razmeroma z lahkoto pridejo do veljavnih IP naslovov. Da bi jim otežili delo v dostopni točki ali usmerjevalniku izključite DHCP in postavite fiksno območje IP naslovov, za tem pa nastavite priklopljene naprave, tako da se bodo ujemale. Uporabite zasebno območje IP številk (denimo 10.x.x.x), da preprečite neposreden dostop do računalnikov preko interneta. Ne izberite pa naslovov, ki se končajo z “0” ali “255”, saj so ti navadno rezervirani za mrežne protokole.

Ne pozabite tudi na požarni zid. Večina usmerjevalnikov na tržišču ima namreč vgrajen požarni zid, ki pa ga ja mogoče tudi izklopiti. Prepričajte se, da je vaš vklopljen in se ne zanašajte le na tistega v vašem računalniku. Kjer pa seveda požarni zid na računalniku, kljub tistemu v usmerjevalniku ali dostopni točki, tudi imejte nameščen in vklopljen. In ko smo že pri požarnem zidu, nikakor ne pozabite tudi na kakovosten protivirusni program. Večina teh vključuje tudi kakovosten požarni zid, tako da boste z njimi »ubili dve muhi na en mah«.

Še predzadnji korak v tokratnem pregledu enostavnih, a učinkovitih zaščit omrežja pa je varna in pravilna postavitev brezžične dostopne točke ali usmerjevalnika. Kot varna oziroma pravilna postavitev je mišljena postavitev na tako mesto, kjer bo čim manj signala uhajalo v okolico oziroma izven stanovanja ali pisarne. Namreč dlje kot bo segal signal, več ljudi ga bo lahko zaznalo in večja bo možnost za vdor. To pomeni, da je dostopne točke ali usmerjevalnike smotrno postavljati čim bolj na sredino stanovanja ali pisarne in ne na okensko polico. S tem bomo izboljšali varnost, hkrati pa tudi poskrbeli za enakomerno razporeditev signala v naših prostorih.

Kot zadnji ukrep za zagotovitev varnosti pa naj omenim še najenostavnejšega. Ko omrežja dlje časa ne potrebujete, ga preprosto izklopite. Denimo v nočnem času ali medtem, ko ste v službi ali na počitnicah. Ukrep je resnično enostaven, a tudi najbolj učinkovit in zanesljiv. Seveda to ne pomeni, da bi morali omrežje ugašati za vsakih 15 minut, ko ga ne uporabljate, saj bi bilo to nepraktično in moteče. Toda pri daljših intervalih to gotovo ne predstavlja večje motnje, sploh pa ne v primerjavi s prednostmi, ki jih ta preprost ukrep prinaša.

Tako, na kratko smo si ogledali osnovne korake za zaščito brezžičnih omrežij. Če jih boste upoštevali, bo na ta način vaše omrežje gotovo varnejše pred nepridipravi, ki bi iz takšnega ali drugačne razloga hoteli vdreti vanj. Še nekaj koristnih nasvetov in napotkov pa si lahko ogledate v priloženem videu.