Saugus bevielis tinklas: keletas patarimų

Paskelbta: |

Pasirodžius pranešimams apie naują tinklo atakų rūšį "Drive-by Farming", kurios labiausiai yra pavojingos bevieliams tinklams, pagalvojau, kad būtų neblogai prisiminti keletą dalykų, kurie padėtų savo namų ar kompanijos bevielį tinklą padaryti saugesniu. Nes, kaip rodo statistika, nuo 50% korporatyvinių bevielių tinklų iki 80% namų tokio pat tipo tinklų yra nepakankamai apsaugoti nuo nesankcionuoto prisijungimo.

Taigi, keletas patarimų, kaip padaryti jūsų Wi-Fi tinklą saugesniu:

  1. Pakeiskite administratoriaus slaptažodį ir prisijungimo vardą. Dauguma namų vartotojų, kurie patys paleidinėja tokio tipo įrenginius, dažnai palieka gamintojo nustatytus prisijungimo vardus ir slaptažodžius. Tai leidžia bet kam prieiti prie jūsų įrenginio nustatymų ir daryti ten ką nori, tuo labiau, kad internete galima rasti pakankamai svetainių su tinklo įrenginių gamintojo nustatytais prisijungimo vardais ir slaptažodžiais.
  2. Pakeiskite savo Wi-Fi tinklo kriptavimą. Jei informacija, varinėjama ten ir atgal per bevielį tinklą, nėra pakankamai gerai užšifruota, įsilaužėlis pakankamai lengvai gali prisijungti prie tinklo ir stebėti kas čia vyksta. Kai jūs įvedinėjate kokią nors asmeninę ar finansinę informaciją į kažkokią interneto sveitainę, tai gali būti nesunkiai perimta ir panaudota kad ir jūsų banko sąskaitos pakraustymui. Problema tame, kad senasis šifravimo standartas Wired Equivalent Privacy (WEP) gali būti nulaužtas per 30 sekundžių, nesvarbu kokio sudėtingumo bebūtų slaptažodis (passphrase). Deja, absoliuti dauguma namų vartotojų palieka būtent šį šifravimo būdą. Iš kitos pusės, kai kurie tinklo renginiai arba mobilūs žaisliukai su Wi-Fi palaiko tik šį algoritmą arba, geriausiu atveju, WPA-Personal (WPA-PSK), todėl, prieš renkantis įrangą, verta pasidomėti bei atkreipti dėmesį ir į tai. Sprendimas – pakeisti nustatymus į WPA2, prieš tai įsitikinus ar jūsų operacinė sistema, bevielio tinklo adapteris tai palaiko ir, esant reikalui, įsidiegus atitinkamus programinės įrangos pataisymus, pvz. WPA2 hotfix’ą Windows XP sistemai. Toliau savo tinklo įrenginuke pasirenkame saugumo nustatymus "WPA2 Personal" ir algoritmą "TKIP+AES". Galiausiai įvedame slaptažodį (būtinai užsirašykite ir saugiai pasidėkite!) į "SharedKey" laukelį ir išsaugome pakeitimus.
  3. Tuoj pat pakeiskite sistemos ID. Paprastai gamintojai savo gaminiams suteikia vienodus sistemų vardus, dar kitaip vadinamus SSID (Service Set Identifier) arba ESSID (Extend Service Set Identifier). Tokių vardų kaip "Default", "Linksys" ir panašiai palikimas savo sistemoje – tai aiškus signalas, tarsi pakvietimas, piktavaliams, kad ir kiti parametrai gali būti palikti nepakeisti. Šiaip pačio vardo pakeitimas techniškai neturi įtakos sistemos saugumui, tačiau jis suteikia tinklui tam tikro asmeniškumo, pvz. "Vardenio Pavardenio Tinklas", bei iš karto atskiria jį nuo kitų neapsaugotų tinklų. Tuo labiau unikalus tinklo vardas yra tikrai patogu, kai aplinkui egzistuoja dar keletas svetimų bevielių tinklų.
  4. MAC adresų filtravimas. Norėdami pamatyti, kas yra prisijungęs prie jūsų tinklo, paprastai privalote patikrinti MAC adresus. Kiekvienas daiktas, kuris gali jungtis prie kokio nors kompiuterinio tinklo, turi unikalų identifikavimo kodą, kuris dar vadinamas "fiziniu adresu" arba "MAC adresu". Jūsų tinklo įrenginys visada automatiškai įsirašo visų savo "klientų", kurie jungiasi prie jo, MAC adresus. Tokiu būdu jūs galite atskirti kurie įrenginiai yra jūsų, o kurie – svetimi ir turi būti "išprašyti" lauk. Tam, kad svetimieji negalėtų prisijungti, reikia savo įrenginyje nurodyti MAC adresus tų, kurie gali prisijungti. Tačiau tai gali nebent apsaugoti nuo atsitiktinio pasijungimo arba pradedančio įsilaužėlio bandymų jungtis. Rimtesni blogiukai naudoja specialią programinę įrangą, kuri gali perimti MAC adresus, o pasikeisti savo tinklo kortos fizinį adresą tikrai nėra sudėtinga.
  5. Išjunkite tinklo sistemos ID viešinimą. Taigi, pakeisdami savo tinklo pavadinimą jūs tartum parodote, kad savo sistema pasirūpinote. Bet gal geriau, kad smalsūs kaimynai ar potencialūs blogiečiai iš viso nežinotų apie jūsų Wi-Fi tinklo egzistavimą? Šiaip asmeniniam naudojimui visai nebūtina, kad tinkls būtų matomas ir kitiems. Užtenka, kad jūs žinote jo SSID ir prisijungimo būdą. Kad tai padaryti? Dauguma tinklo įrenginių turi tinklo SSID viešinimo atjungimo galimybę. Tai daroma per disable/enable SSID brodcasting nustatymus. Kur ir kaip tai padaryti, pasiskaitykite savo įrenginio instrukcijoje.
  6. Automatinis pasijungimas prie atvirų (viešų) bevielių tinklų. Dauguma kompiuterių bei mobilių įrenginių yra suderinti taip, kad automatiškai jungtųsi prie viešųjų neapsaugotų (unsecured) Wi-Fi tinklų. Jei tai nėra išankstinis gamintojo nustatmas, tai daugelis ji vistiek nustato, nes taip patogiau keliaujant ar prisijungimt prie draugo tinklo. Be to, daugelis nustato tokio prisijungimo galimybę ir tiems tinklams, prie kurių jungiamasi pastoviai (čia saugesnis atvejis). Tačiau tada nereikia pamiršti savo tinklui suteikti unikalų SSID ir vengti jungtis prie tokių, kur palikti gamintojo nustatyti pavadinimai, tokie kaip "Default", "Linksys" ir panašūs, nes taip labai lengva patekti į tinklus kvailiams medžioti, kurie yra specialiai sutverti pagauti nieko neįtariančius vartotojus ir tuo pačiu įsilaužti į jų kompiuterius.
  7. Jei Wi-Fi įrenginys turi ugniasienę, būtinai ją įjunkite. IT saugumas reikalauja, kad tinklo apsauga būtų sudaryta iš kelių lygių. Vieno apsaugos lygio jau nebepakanka, kad apsisaugoti nuo tinklo atakų, virusų ir kenksmingo kodo patekimo į jūsų sistemą. Tai yra labai svarbu bevieliams tinklams, nes jie neapsiriboja kokiu nors fiziniu perimetru, o pasiekia jūsų kaimynus ar kitas viešas erdves. Esant nedideliam tinklui turime bent jau minimaliai du labai svarbius apsaugos lygius – tai Wi-Fi stotelės ar maršrutizatoriaus ugniasienę ir jūsų kompiuterio asmeninę ugniasienę. Įsitikinkite, kad abi ugniasienės yra įjungtos ir nustatytos taip, kad blokuotų anonimines interneto užklausas ar tinklo užklausas (ping). Tai padės jums paslėpti savo tinklą internete ir tuo pačiu apsaugoti jį nuo bereikalingų bandymu prisijungti.
  8. Vietos Wi-Fi įrenginiui parinkimas. Bevielio tinklo signalas nežino kur baigiasi jūsų namai ar teritorija ir kur prasideda svetima erdvė. Jei signalas nedaug išeina iš jūsų erdvės, tai nieko baisaus, bet tai reikia stengtis minimizuoti. Priešingu atveju, stipraus signalo patekimas į viešą erdvę padidina tokio tinklo aptikimo ir pažeidžiamumo galimybę. Šiaip reikia stengtis nestatyti įrenginio prie langų ar įšorinių sienų, nebent norite, kad signalas apimtų ir, pavyzdžiui, nuosavo namo kiemą. Tačiau reikia bent jau pasistengti nustatyti, koks pakankamo stiprumo prisijungimui signalo spindulys ir atitinkamai pakoreguoti jo stiprumą. Nepamirškite, kad skirtingos sienų medžiagos ir storis bei langai turi skirtingą signalo slopinimą.
  9. Kada reikia išjunginėti Wi-Fi tinklą. Dauguma iš mūsų žino kaip yra nepatogu ir nepraktiška pastoviai išjunginėti tinklo įrenginius. Deja, tinklas yra pažeidžiamas tada, kai jis įjungtas. Šiuo atveju patarimas gan paprastas. Išjunkite tada, kai planuojate nesinaudoti tinklu ilgesnį laiką, pvz. išvykstate atostogauti ar pan.
  10. Jūsų pakeitimų testavimas. Kai jau padarėte visus minėtus nustatymus, būtų gerai išsiaiškinti pasiekto saugumo lygį. Deja, tikrąjį saugumo lygį gali parodyti rimtas bandymas įsilaužti. Problema ta, kad nėra paprastų būdų vidutiniam namų bevielio tinklo vartotojui įsitikinti savo saugumu. Vienas iš būdų, tai pasinaudoti bevielio tinklo skanavimo programomis, kaip Nestumbler, kurią galima laisvai parsisiųsti. Šio įrankio pagalba galima patikrinti tinklo pažeidžiamumus bei patikrinti signalo stiprumą įvairiose vietose.