Embed Size (px)
Citation preview
Vrste enkripcija i zaštita bežičnog mrežnog sustava
Darijan Kremer
Uvod u bežićne mreže
Wi-Fi
Wi-Fi, Wireless-Fidelity (IEEE 802.11) je bežična mreža gdje se podaci imeđu dva ili više računara prenose pomoću radio frekvencija (RF) i odgovarajućih antena. Najčešće se koristi u LAN mrežama (WLAN), ali se u posljednje vrijeme sve više nudi i bežični pristup WAN mreži - internetu. Wi-Fi je brand Wi-Fi Alianse koja propisuje standarde i izdaje certifikate za sve Wi-Fi uređaje. Wi-Fi je 1991 godine izumila NCR Korporacija/AT&T u Nieuwegeinu, Nizozemska. Prva mreža se zvala WaveLAN i radila je na brzinama od 1 do 2 Mbit/s. Ocem WiFi-a se smatra Vic Hayes čiji je tim osmislio standarde za Wi-Fi kao što su IEEE 802.11b, 802.11a i 802.11g.
Način rada
Wi-Fi mreže rade uz pomoć veoma jednostavne radio tehnologije, jedina razlika je to što se radio signali pretvaraju u nule i jedinice. Slanje podataka preko radia nije novina jer se i Morzeov kod binarno prenosio bez žica, no RF tehnologija je mnogo unaprijeđena od vremena Morzeovog koda, tako da je opseg informacija koje je moguće poslati pomoću radio frekvencija neuporediv. Upravo je WiFi prvi iskoristio dobru propusnost i jednostavnost radio signala. WiFi radiji šalju signale na frekvencijama 2.4 GHz (802.11b i 802.11g standardi) i 5 GHz (802.11a), gdje se koriste mnogo naprednije tehnike kodiranja kao što su OFDM (orthogonal frequency-division multiplexing) i CCK (Complementary Code Keying) pomoću kojih se ostvaruju mnogo veće brzine prijenosa podataka samo uz pomoć radio valova. Razlog što se ove frekvencije koriste jest što su ostale neiskorištene od strane raznih armija ali i ostalih korisnika koje koriste zasebne frekvencije za komuniciranje.
Sva radio tehnologija se nalazi u WIFi karticama koje ugrađujemo u računar (neki noviji laptopi kartice imaju već ugrađene), i to je praktično sve što treba za bežićno umrežavanje. Zbog toga se bežićno umrežavanje smatra jednim od najjednostavnijih trenutno u ponudi, a dodatni razlog je što uklanja potrebu za kablovima i ostalim mrežnim uređajima. Jedino što korisniku preostaje je da se prikopča na tzv. hotspot, odnosno čvorište gdje se spajaju ostali
2
Pojmovi Internet protokola (IP)
5. Aplikacijski sloj
DHCP • DNS • FTP • HTTP • IMAP4 • IRC • MIME • POP3 • SIP • SMTP • SNMP • SSH • TELNET • TLS/SSL • BGP • RPC • RTP • RTCP • SDP • SOAP4. Prijenosni sloj
TCP • UDP • DCCP • SCTP3. Mrežni sloj
IP (IPv4 • IPv6) • ARP • ICMP • IGMP • RSVP • IGP • RARP2. Podatkovni sloj
ATM • Bluetooth • DTM • Ethernet • FDDI • Frame relay • GPRS • Modemi • PPP • Wi-Fi1. Fizički sloj
Bluetooth RF • Fizički Ethernet nivo • ISDN • Modemi • RS232 • SONET/SDH • USB • Wi-Fi
korisnici. Obično se radi o manjoj kutiji u kojoj se nalazi WiFi radio koji komunicira sa ostalim korisnicima, i najčešće je to čvorište prikopčano na Internet. Takva čvorišta se već mogu vidjeti u razvijenim gradovima na nekim prometnim mjestima kao što su parkovi ili aerodromi, tako da je moguće imati bežićni pristup internetu uz laptop. Ponekad se dogodi miješanje signala na 2.4 GHz frekvencijama, najčešće sa bežićnim telefonima i Bluetooth uređajima koji koriste istu frekvenciju.
WAP-4000, primjer jednog Access pointa
MAC adresa
U računarskim mrežama Media Acces Control adresa ili jednostavno MAC adresa je jedinstven označivač ili ključ koji se nalazi u skoro svim mrežnim uređajima. Većina protokola iz drugog OSI sloja koristi jedno od tri mjesta koje nadgleda IEE: MAC-48, EUI-48 i EUI-64, koji su dizajnirani da budu globalno jedinstveni.
Bežično umrežavanje
3
Primjer jednostavne WiFi LAN mreže koja može uključivati obični računar, laptop, printer, WiFi router, i u isto vrijeme biti priključen na internet putem nekog modema.
Bežično (en. Wireless) umrežavanje je vjerovatno najjednostavniji način umrežavanja, nudi srednju brzinu, ne zahtijeva dodatne kablove, ali je i relativno skuplji od ostalih načina umrežavanja, iako cijena WiFi uređaja konstantno pada.
Bežično umrežavanje je najjednjostavnije uz WiFi tehnologiju, gdje nam je samo potrebna WiFi kartica (interna (PCI i PCMCIA) ili vanjska (USB)) u dva ili više računara da bi se isti umrežili. Obično u kartice dođe integrisana antena koja je dovoljna za manje mreže, no moguće je koristiti i bolje, vanjske antene koje pojačavaju signal. Za priključivanje na neku mrežu potreban je tzv. Hotspot, odnosno čvorište na koji se spajaju svi ostali korisnici. Ako je mreža osigurana ona će tražiti WEP ili noviji WPA (2) ključ, a ako je slobodna onda nema nikakvih ograničenja za spajanje.
Svako može biti hotspot, jedino umjesto obične kartice je potrebno kupiti Wireless Acces Point koji nudi pokrivenost od oko 30 metara, dok je uz razne pojačavače moguće bitno proširiti pokrivenost. Najskuplja varijanta, ali ona najbolja, je uzeti Wireless Access Point Router koji sadrži priključak za DSL modem, Router, Ethernet Hub, Firewall i Access Point. Uz sve to moguće na samo taj uređaj priključiti jednu Ethernet mrežu na koju će biti priključeni korisnici sa WiFi karticama, te svi zajedno imati pristup internetu putem DSL modema.
Problem kod bežičnih WiFi mreža je što mogu biti nesigurne, pogotovu starije mreže sa WEP provjerom koja je nesigurnija od WPA i WPA 2 enkripcije podataka. Osim toga WiFi uređaji troše malo više struje od standardnih uređaja za računarske mreže.
Sigurnost
Za razliku od žičanih mreža gdje se pristup može ograničiti fizički, kod bežičnih mreža temeljnih na Wi-Fi standardu je mnogo teža kontrola i nadgledanje korisnika. Praktično, na bežičnu mrežu se može spojiti bilo ko ima WiFi karticu i neku vrstu antene. Rješenje je u enkripciji podataka, a većina Pristupnih tačaka ima ugrađenu enkripciju. Prva generacija
4
enkripcije WEP se pokazala kao veoma lakom za probiti, dok se novije WPA i WPA2 smatraju dosta sigurnim, uz odgovarajuću šifru.
Vrste enkripcija
5
Service set identifier (SSID)
U Wi-Fi Wireless LAN computer networking, service set identifier (SSID) je kod koji je spojen na sve odlazne pakete na vašj bežičnoj mreži kako bi identificirao svaki paket kao dio mreže. Kod se sastoji od stringa koji sadrži 1-32 okteta. Svi bežični uređaji koji pokušavaju komunicirati međusobno moraju dijeliti isti SSID. Osim što služi za identificiranje svakog paketa SSID također služi da unikatno identificira grupu bežičnih mreža uređaja korištenih pod "Service Set".
Postoje dvije varijante SSID.
Ad-hoc bežične mreže (IBSS) koje se sastoje od klijentskih mašina bez access point-a i one koriste IBSS ID (Independent Basic Service Set Identifier)
Infrastrukturne mreže koje uključuju access point (BSS ili ESS)koriste BSS ID ili ESS ID (E za Extended).
SSID na bežičnim poslužiteljima mogu biti podešeni manualno, unošenjem SSID u mrežne postavke, ili automatski, ostavljajući SSID neodređenim ili praznim. Network administrator često koristi javni SSID, koji je podešen na access pointu i broadcast-a svim bežičnim uređajima u dohvatu.
SSID bez broadcast-a
Isključivanje SSID je vrlo loše za sigurnost bežične mreže. Korisniku, ovisni o bežičnom softveru, mreža se neće pojaviti ili će biti prikazana kao "Unnamed Network". U svakom slučaju, mora se manualno unijeti ispravan SSID kako bi se spojio na mrežu.
Ova metoda nije sigurna, zato što svaki puta kada se netko spoji na mrežu, SSID se prenosi u cleartext-u ,bez obzira da li je konekcija enkriptirana. Netko može bez problema pasivno sniffati bežični promet neprimjećen i čekati da se netko spoji, otkrivajući svoj SSID. Alternativno ima bržih metoda gdje cracker traži "disassociate frame" dok dolazi iz bežičnog router-a i šalje ga jednom od klijenata; klijent će se odmah re-connect-ati, otkrivajući svoj SSID.
Ovo definitvno ne bi trebala biti jedina zaštita vaše bežične mreže. Druge vrste enkripcija i autentifikacije također treba koristiti, WEP u svakom slučaju ili još bolje neku vrstu WPA.
U stvari, mnogi sigurnosni stručnjaci smatraju da isključivanje SSID broadcast- a je sigurnosni propust. Access pointovi možda više ne broadcast-aju SSID ali svaki klijent koji ima podešenu mrežu da se automatski spaja sada šalje pakete sa zahtjevom za konekciju zajedno sa mrežnim SSID pokušavajući locirati i spojiti se na mrežu.
Danas, neki bežični access point-ovi isključuju automatski SSID broadcast mogućnost u pokušaju da unaprijede sigurnost vaše mreže. Napredni bežični access point-ovi podržavaju broadcasting multiple SSIDs, dozvoljavajući kreiranje Virtual Access Points – particioniranje
6
jednog fizičkog access pointa u nekoliko logičkih access point-ova. Gdje svaki od njih može imati različite postavke sigurnosti i mreže.
SSID Client Isolation zabranjuje bežičnim klijentima u istom subnet-u da komuniciraju direktno jedan sa drugim i na taj način zaobilaze firewall.
Wired Equivalent Privacy
Wired Equivalent Privacy (WEP) je algoritam pun mana koji služi za osiguravanje IEEE 802.11 bežičnih mreža. Bežične mreže broadcast-aju poruke koristeći radio, pa su više podrobne prisluškivanju nego žične mreže. Predtavljen 1999, WEP je trebao pružiti sigurnost sličnu onoj na tradicionalnim žičanim mrežama.
Početkom 2001, otkriveno je nekoliko ozbiljnih slabosti pomoću kriptoanalitičara, sa rezultatima kojim danas WEP konekciju može probiti i čitati u roku par minuta sa odgovarajućim softverom. U nekoliko mjeseci IEEE je kreirao novi 802.11i standard da se suprostavi problemima. Do 2003, Wi-Fi Alliance je najavio da je WEP dobio nasljednika zvanog Wi-Fi Protected Access (WPA), koji je bio podset nadolazećem 802.11i amandmanu. Napokon 2004, IEEE je objavio da oba WEP-40 i WEP-104 su odbačeni jer nisu uspjeli ostvariti svoje sigurnosne cilljeve sa implementacijom punog 802.11i standarda (znanog kao WPA2). Unatoč svojim slabostima, WEP je danas najraširenija enkripcija jer pruža osnovnu sigurnosnu zaštitu protiv većine korisnika koji slučajnu upadnu na nečiju mrežu.
WEP se ponekad netočno zamjenjuje za Wireless Encryption Protocol.
Encryption detalji
WEP je uključen kao zaštita u originalnom IEEE 802.11 standardu ratificiranog u studenom 1999. WEP koristi stream kodiranje RC4 za privatnost i CRC-32 checksum za integritet.
Standard 64-bit WEP koristi 40 bit key (ključ) (znan kao WEP-40), koji koristi 24-bit inicijalizator vektora (IV) kako bi oformio RC4 traffic key (ključ). U to vrijeme originalni WEP standard se uglavnom koristio. U.S. vlada ograničila je veličinu ključa.
7
Kada su restrikcije maknute, svi veći proizvođači su implementirali produženi 128-bit WEP protokol koristeći 104-bit key (ključ) veličinu (WEP-104).
128-bit WEP key (ključ) je gotovo uvijek unošen od strane korisnika kao string od 26 Hexadecimalnih (Hex) znakova (0-9 i A-F). Svaki znak predstavlja 4 bita od key (ključ). 4 × 26 = 104 bita; dodajući 24-bita IV donosi nam, što zovemo "128-bit WEP key (ključ)". A 256-bit WEP system je dostupan od nekih vendora. Sa gore navedenim sistemom, 24 bita od toga je za I.V., ostavljajući 232 svarnih bitova za zaštitu. Ovo se tipično unosi sa 58 Hexadecimalnih znakova. (58 × 4 = 232 bits) + 24 I.V. bits = 256 bita od WEP zaštite.
Key (ključ) veličina nije jedino sigurnosno ograničenje u WEP-u. Krakiranje dužeg key-a (ključ) zahtjeva presretanje više paketa, ali postoje aktivni napadi koji stimuliraju neželjen promet. Postoje i druge slabosti u WEP-u, uključujući mogućnost od IV kolizije i promijenjenih paketa kojima ne pomaže nimalo dulji key (ključ). Npr stream cipher attack.
Autentifikacija
Dvije metode autentifikacije se mogu koristiti kod WEP-a:
Open System authentication i Shared Key (ključ) authentication.
Kada govorimo o WEP autentifikaciji, govorimo o infrastrukturnom modu ( između WLAN klijenta i Access Pointa), ali diskusija se može primijeniti i na Ad-Hoc mode.
Kod autentifikacije otvorenog sistema, WLAN klijent ne smije pružiti svoje isprave Access Pointu prilikom autentifikacije. Bilo koji klijent bez obzira na njegov WEP key (ključ), može autentificirati sam sebe sa Access Point-om i onda pokušati pridružiti. Poslije autentifikacije i pridruživanja, WEP se može koristiti za enkripciju podatkovnih okvira. U ovom trenutku, klijent mora imati pravi ključ.
Kod Shared Key (ključa) autentifikacije, WEP se koristi za autentifikaciju. Koristi se četverosmjerni challenge-response handshake.
I) Klijentska postaja šalje autentifikacijski zahtjev prema Access Point.
II) Access Point šalje natrag clear-text challenge.
III) Klijent mora enkriptirati challenge text koristeći konfigurirani WEP key (ključ) i poslati ga natrag u drugom autentifikacijskom zahtjevu.
IV) Access Point dekriptira materijal i uspoređuje ga sa clear-text kojeg je poslao. Ovisno o uspješnosti ove usporedbe, Access Point šalje natrag pozitivan ili negativan odgovor. Poslije autentifikacije i pridruživanja, WEP se može koristiti za enkripciju podatkovnih okvira.
Na prvi pogled se čini da Shared Key (ključ) autentifikacija je više sigurna nego Open System autentifikacija. No ipak je obrnuto. Moguće je stvoriti static WEP key (ključ) hvaćanjem četiri
8
handshake okvira u Shared Key (ključ) autentifikaciji. Preporučljivo je koristiti Open System autentifikaciju za WEP autentifikaciju. Ali obe autentifikacije su vrlo slabe.
Remedies
Korištenje enkriptiranog tunelskog protokola ( IPSec, Secure Shell) može pružiti siguran prijenos podataka preko nesigurne mreže. No, zamjene za WEP su prvotno razvijane sa ciljem kako bi se povratila sigurnost same bežične mreže.
802.11i (WPA and WPA2)
Preporučena solucija za WEP sigurnosne probleme je prebacivanje na WPA2 ili na ako ništa drugo, na WPA. Bilo koja je sigurnija od WEP. Kako bi dodali WPA or WPA2, neki stariji Wi-Fi access pointovi će morati nadograditi svoj firmware.
Implementiranje ne-standarnih ispravaka
WEP2
Poboljšanje WEP-a je bilo predstavljeno u ranim verzijama 802.11i standarda, koji se mogao implementirati na neke (ne sve) hardvere koji nisu mogli rukovati sa WPA ili WPA2, a bazirao se na:
IV vrijednost od 128 bita Key (ključ) od 128-bita.
Kada je postalo jasno da WEP algoritam je pun mana (ne samo key (ključ) veličina), ovo je izbačeno iz standarda.
WEPplus
Još znan kao WEP+. Dodatno poboljšanje WEP-a od Agere Systems (bivše podružnice od Lucent Technologies). To poboljšava WEP sigurnost izbjegavajući "slabe IV". Efektivan je jedino kada se WEPplus koristi na oba dvije strane bežične konekcije. Kako ovo nije lako ostvarivo, postaje ozbiljna limitacija.
Dynamic WEP
Promjena WEP key (ključ) dinamično. Tu mogućnost pružaju samo pojedini vendori kao što su 3Com.
Dinamična promjena je implementirana u 802.11i kao dio TKIP, ali i ne stvarnog WEP algoritma.
Kako zaštiti vašu bežičnu mrežu?9
Uvod
Prijeđite mišem preko vaše wlan konekcije na donjem desnom kutu vašeg ekrana. Pokazat će ime vaše bežične mreže. Ako ste kao 80 posto wlan korisnika, bežična mreža na koju ste spojeni biti će nazvana nešto kao „Linksys (Unsecured)“ ili „Default (Unsecured)“.
Nezaštićena bežićna mreža je otvorena pozivnica hakerima da ušetaju u vaše računalo i ukradu vaše osobne informacije, uploadaju malware na vaše računalo, i teroriziraju vas.
Na sreću, postavljanje zaštite na vašu wlan konekciju je vrlo jednostavno.Navest ćemo desetak preliminarnih postupaka kako bi zaštitili vašu mrežu.
Promjena administratorske lozinke i korisničkog imena
Kada ste izvadili vaš Wlan router iz kutije i počeli ga podešavati, biti će te pitani da upišete specifičnu web stranicu i da morate unijeti podatke poput vaše mrežne adrese i account informacije. U teoriji ta wlan setup stranica je zaštićena sa loginom (korisničko ime i lozinka).
Problem :
korisničko ime i lozinka su namijenjeni da vam omoguće pristup vašem Wlan setup-u i da osobne informacije koje ste unijeli. Ali činjenica ostaje da loginovi koji su vam pruženi su uobičajeno dani bilo kome sa istim modelom routera i zbog toga večina ljudi ih nikada ne mijenja. Tako postaju laka meta za hakere i one koji kradu identitete.
Ustvari, postoje stranice koje sadrze liste default korisničkih imena i lozinaka za wireless routere, te tako omogučavajući hakerima još lakši posao.
Rješenje:
Promijenite korisničko ime i lozinku za vašu bežične postavke odmah nakon vašeg prvog logina. Ako već postavljate drugu lozinku, potrudite se da ju je teško pogoditi. Vaše ime, prezime, datum rođenja, godišnjica, ime vašeg djeteta, ime kućnog ljubimca i slično će biti za hakera prvi pokušaji za probijanje vaše sigurnosti. Mnogi hakeri koriste metodu za probijanje šifri koja se zove
„dictionary hacking“. To je u biti program koji koristi najkorištenije riječi iz jezika kao lozinke. Zato se potrudite da lozinka nije uobičajena riječ, nego da bude kombinacija slova, brojeva i znakova.
Postavljanje vaše bežične enkripcije
10
Ako informacija koja je slana preko vaše bežične mreže nije adekvatno enkriptirana, haker može vrlo lako upasti u vašu mrežu i motriti vaše aktivnosti. Kada upisujete osobne ili financijske (npr. Br. PIN-a) na neku WEB stranicu, haker može ukrasti te informacije i iskoristiti ih kako bi vam ukrao identitet.
Stari enkripcijski standard Wired Equivalent Privacy (WEP), može biti hakiran u roku od 30 sekundi, bez obzira na kompleksnost vaše lozinke. Na nesreću, milijuni korisnika bežičnih mreža još koristi WEP enkripciju za svoje informacije, makar postoji mnogo superiorniji WPA2 enkripcijski standard.
Problem:
Bez obzira na superiorniju enkripciju koju WPA2 preža, većina Wifi kućnih korisnika nisu nadogradili svoju zaštitu jer nisu svjesni problema ili nisu dovoljno informatički obrazovani da bi sami podesili. Kao rezultat, mnogi i dalje koriste WEP enkripciju koju je danas vrlo lako zaobići.
Rješenje:
je naravno da nadogradite svoju enkripciju na WPA2. Ali prije negoli možete dodati WPA2 protekciju, morati ćete napraviti par koraka kako bi nadogradili vaše računalo. Prvi korak je da skinete i instalirate Microsoft's WPA2 hotfix za Windows XP. Najvjerojatnije ćete morati i nadograditi svoje drivere za bežičnu karticu.
Sada ćete morati podesiti svoj router preko njegove administratorske stranice . Kada se logirate, promijenite sigurnosne postavke na „WPA2 Personal“ i odaberite algoritam „TKIP+AES“. Naposlijetku, unesite lozinku u „Shared Key (ključ)“ polje i pohranite svoje promjene.
Mijenjanje Default System ID-a
Kada dobijete svoj Linksys ili D-Link (ili neki drugi) router od providera i podesite ga, vidjet ćete da je došao sa default system ID koji se zove SSID (Service Set Identifier). Ovaj ID se često referira kao i vaše ime bežične mreže.
Problem:
Proizvođači dodjeljuju identične SSID postavke svojim uređajima i 80% korisnika bežičnih mreža imaju svoje bežične sisteme nazvane „Default “ ili „LinkSys“ . Ili bilo koje ime koje vam vaš provider dodijeli kao default ime.
Problem sa ovim default postavkama jest da olakšavaju posao hakerima koji kruže susjedstvom tražeći bežične mreže koje mogu hakirati. Pošto znajući za vaš SSID ne dozvoljava nikom da upadne lako u vašu mrežu ali ostavlja dobar indikator da niste poduzeli nikakve korake da zaštitite prikladno vašu mrežu, jer te mreže su najčešće mete napada.
11
Rješenje:
Promijenite default SSID kada konfigurirate vaš LAN. Ovo neće u potpunosti zaštiti vašu mrežu, ali će vas razlikovati od drugih nezaštićenih mreža i obeshrabriti hakere da se namjere na vas. Također se nećete zabuniti pri konekciji na mrežu i slučajno se spojiti na susjedovu mrežu istog naziva.
MAC Address filtriranje
Ako ste imali nezaštićenu mrežu u prošlosti, možete biti poprilično sigurni da bar jedan od vaših susjeda koristi vašu bežičnu mrežu kako bi se spojio na internet . Krađa tuđeg internet prometa je moralno i legalno upitna, a još pitanje je koliko može štete napraviti vašem računalu.
Kako bi saznali tko se sve spajao na vašu mrežu morati ćete provjeriti MAC address. Svakom Wifi uređaju je dodijeljen unikatan kod koji ga identificira i zove se "physical address" ili "MAC address." Vaš Wifi sistem automatski bilježi MAC adrese za sve uređaje koji se spajaju na njega.
Problem:
Niste sigurni tko pristupa vašoj wifi mreži i kada saznate da se netko spaja na vašu mrežu, želite ga spriječiti, zar ne? Ali kako?
Rješenje:
Provjera MAC adresa dati će vam brz pogled na uređaje koji se spajaju na vašu wifi mrežu. Sve što nije vaše će te htjeti zabraniti pristup. Da to napravite, morati ćete manualno unesti kod MAC adrese vaše kućne opreme. Tako će mreža dozvoliti pristup samo navedenim MAC adresama vaših uređaja. Pa će na taj način vaši pohlepni susjedi ostati bez besplatnog interneta. Ova solucija nije najbolje rješenje ali će definitivno zaustaviti vašeg susjeda i hakera amatera. Profesionalni hakeri koriste napredne softverske programe da lažiraju MAC adresu.
Prestanite Publicly Broadcast vaše mreže
Do sada ste promijenili ime vašeg wifi-a tako da hakeri nemogu vidjeti default ime dok pretražuju nezaštićene mreže. Ali ne bi li bilo najbolje da haker i znatiželjni susjedi ne vide vašu mrežu uopće.
12
Uobičajeno, vaš access point ili router je programiran da radi broadcast imena mreže (SSID) preko zraka u regularnim intervalima. Prilikom broadcasta nužno je za poslovne i mobilne hotspots dozvoliti ljudima da nađu mrežu na koju bi se spojili, ali nije potreban kod kućne mreže, stoga je ugasite.
Problem:
Zašto raditi broadcast cijelom susjedstvu da imate bežičnu mrežu? To već vi znate, a zašto bi to trebali znati i stranci? Za većinu osobnih korisnika, bolje je bez ove opcije zato što povećava vjerojatnost neželjenog upada susjeda ili hakera da se ulogira na vašu kućnu mrežu. Broadcast je kao pozivnica hakerima koji traže priliku.
Rješenje:
Većina wifi access pointova dozvoljava SSID broadcast opciju da bude isključena od strane mrežnog administratora. Većina tutoriala kako iskljućiti vaš broadcast možete naći na web stranicama proizvođaća vašeg routera.
Auto-Connect da otvorite vašu Wifi mrežu?
Većina računala dopušta da se automatski spojite na bilo koju otvorenu wifi mrežu bez ikakve obavijesti. Pošto ova postavk a nije defaultna , mnogi pojedinci odaberu ovu opciju zato jer im se lakše i brže spojiti na mrežu ako putuju ili se spajaju na prijateljevu mrežu kako bi igrali igre ili surfali internetom. Još je uobičajenije da imaju uključenu postavku da se spoje automatski na mrežu na koju se stalno spajaju. Opet, to ima smisla, pošto većina korisnika ne želi manualno utipkavati ime svoje bežićne mreže na koju se žele spojiti. Na žalost oba dvije navedene postavke predstavljaju velike sigurnosne propuste.
Problem:
Ako se spajate na na bilo koju raspoloživu mrežu automatski, naposlijetku ćete se spojiti na neku lažnu bežičnu mrežu koja je dizajnirana da ulovi naivnog korisnika i hakira njegovo računalo.
Slično, ako se automatski spajate na uobičajene regularne veze (ne upisujete manualno ime vaše mreže, korisničko ime i lozinku svaki put) onda najvjerovatnije radite sigurnosni propust. To je zato što 80% korisnika ne mijenja default ime bežične mreže.
Rješenje:
13
Nemojte odabrati navedene opcije. Ili ako su već odabrane neka vaš router ili access point bude podešen nekim unikatnim imenom, a ne defaultnim kako je objašnjeno u primjeru prije.
Imate ugrađeni firewall, koristite ga!
Vaša sigurnost treba imati više slojeva. Jedan od bitnih slojeva zaštite jest korištenje firewall-a koji je ugrađen u vaš router, kao i korištenje firewall-a na vašem osobnom računalu.
Problem:
Router dolazi sa ugrađenom opcijom firewall-a na samom routeru. Ali neiskusni korisnici ga mogu slučajno isključiti pri podešavanju.
Rješenje:
Osigurajte se da je opcija firewall na routeru uključena, zajedno sa ugrađenom sigurnosnom funkcijom koja blokira anonimne internet zahtjeve ili ping-ove. Ovaj dodatni korak će pomoći sakrivanju vaše mreže prema internetu i na taj način pomoći u osiguravanju vaše mreže. Uostalom teže je hakeru infiltrirati u ono što nemože naći.
Pozicioniranje routera ili access pointa
Wifi signal nezna gdje vaša kuća završava, a gdje susjedova počinje. Najidealnije rješenje bi bilo kada bi bežični signal vašeg bežičnog routera pokrivao samo vašu kuću ili stan.
Problem:
Dok malo istjecanje vašeg wifi signala izvan vašeg posjeda nije neki problem, važno je imati na umu da to istjecanje signala je svedeno na minimum. To je važno zato jer što dalje vaš signal dohvaća u vaše susjedstvo, to je lakše otkriti i iskoristiti vašu mrežu.
Rješenje:
Ako još niste instalirali svoju bežičnu kućnu mrežu, budite sigurni da pozicija vašeg routera ili access pointa se nalazi u centru vašeg doma, a ne u blizini prozora. Ako živite u stanu , uzmite u obzir da wifi mreža je ograničena preprekama i materijalima kroz koje mora proći. Više zidova, vrata i metala kroz koje signal prolazi gubi na svojoj jačini. Ako je vaša namjera da ograničite signal samo na vaš dom iili posjed uzmite u obzir da montirate vaš wifi u ormar kako bi smanjili intenzitet signala.
Kada isključiti vašu mrežu
14
Većina nas zna da nije praktično stalno paliti i gasiti uređaje. Imati bežičnu mrežu je velikim dijelom praktično, ali ako je morate stalno gasiti i paliti to i baš nije. Na nesreću , bežična konekcija jest ranjiva kada je uključena. Stoga, gašenje vaše bežične mreže kada je ne koristite uvelike pomaže vašoj sigurnosti.
Problem:
Odluka između praktičnog i stalnog uključivanja i isključivanja vaše wifi konekcije uvijek završi na strani praktičnog.
Rješenje:
Kao što uzimate dodatne sigurnosne mjere kad idete npr. na ljetovanje, odmor , pa zamolite susjeda da vam zalije cvijeće i pripazi na kuću ili stan, tako i primijenite dodatne sigurnosne mjere koje se odnose na vašu bežičnu mrežu ako je nećete koristiti duži period vremena. Gašenje mreže je osnovna ali i efektivna sigurnosna mjera koja može zaštiti vašu mrežu dok niste u blizini da ju sami zaštitite. A i hakeri mogu iskoristiti ovu mogućnost ugnijezde svoj napad.
Stavljanje vaših poboljšanja na test
Sada kada ste napravili sve ove promjene na vašoj bežićnoj mreži, bilo bi dobro da znate da li to sve funkcionira. Na nesreću, jedini sigurni test jest da čekate i vidite da li ćete biti hakirani. Ali to definitivno nije najbolja odluka da testirate vašu sigurnost. Postoji nekoliko programa za testiranje sigurnosti vaše mreže.
Problem:
Prosječni kućni wifi korisnik nema dovoljno znanja o hakiranju da bi stavio svoju mrežu na test kako bi saznao da su promjene koje je napravio uistinu funkcioniraju.
Rješenje:
15
Netstumbler program. Ovaj program će odrediti sve ranjivosti vaše bežične mreže i neovlaštene access pointove. Kao dodatak ova aplikacija će također otkriti izvore koji ometaju vašu mrežu kao i jakost vašeg signala. Tako da možete poboljšati jakost vašeg wifi signala. Netstumbler je besplatan download
http://www.pcworld.com/downloads/file/fid,23439-order,1-page,1-c,alldownloads/description.html?findid=51212#
Makar ako se program pokaže korisniku, može donirati autoru kako bi podržao njegov rad.
Završna riječ:
Ovaj seminar bi trebao pomoći pri osnovnom osiguravanju vaše bežične mreže od većine napada. Izostavio sam još nekoliko efektivnih mjera poput: limitiranje intra-network file sharing, mjenjanje default IP adrese vašeg bežičnog routera, dodjeljivanje statične IP adrese za svaki od vaših osobnih računala, isključivanje DMZ i remote managment mogućnosti.
16
