Wi-Fi betolakodó-elhárítás Zsinórnélküli hálózati tippek
Hír küldése
A zsinórnélküli hálózatok előnye, hogy SOHO környezetben olcsón, egyszerűen hozhatók létre, de sokszor nehéz megvédeni őket.
Lassan bekövetkezik, hogy Magyarországon is több noteszgépet adnak el, mint asztalit, és ma már nincs olyan hordozható PC, amelynek ne lenne alapáras extra tartozéka a vezetéknélküli hálózati vezérlő. Éppen ezért SOHO környezetben gyakori és érthető igény, hogy ne kelljen vezetékekkel babrálni, és Wi-Fi-s internetátjárót telepítsenek. Az ilyen átjárók olcsók, és egyszerű őket konfigurálni. Éppen ezért nagyon könnyű velük internetelérést szolgáltatni az utcán, vagy - rosszabb esetben - megnyitni a belső hálózatunkat mindenki számára, ugyanis a Wi-Fi hálózathoz alapértelmezett beállításként nem használnak semmiféle védelmet.
Mivel SOHO környezetben gyakran a rendszergazdai feladatokat az IT-ügyekben legtájékozottabb(nak tűnő) kolléga tölti be, úgy gondoltuk, érdemes összegyűjtenünk a legfontosabb, alapvető tanácsokat egy Wi-Fi hálózat konfigurálásához, hogy legalább a kevésbé elszánt betörőket távol tarthassuk.
Javítócsomagot neki!
A megjelenése után ennyi idővel kicsit félve írjuk le a Windows XP felhasználónak azt a nagyon egyszerű tanácsot, hogy mindenképpen telepítsék legalább a második javítócsomagot (SP2-t)! Bízunk benne, hogy az XP már nem működik senkinél sem úgy, hogy ez a javítás ne lenne telepítve, de ki tudja? A lényeg: a Wi-Fi-vel kapcsolatos részt teljesen átírták a Microsoftnál az SP2 kiadásakor. Természetesen az SP3-ban ugyanezek a frissítések benne vannak.
Infobox
A csak olvasható memóriában (ROM) tárolt program, mely a különböző számítástechnikai eszközök alapvető működéshez szükséges, azok tudását alapvetően befolyásolja.
- MAC address (Media Access Control):
Szószerinti fordításban Média Hozzáférés Vezérlés. A gyakorlatban a hálózati eszközök egyedi azonosításra használható rendszáma - függetlenül attól, hogy azok vezetéknélküli, vagy vezetékes kivitelűek.
- SSID (Service Set Identifier):
Szószerinti fordításban Szolgáltatási Készlet Azonosító, de gyakorlatilag az általunk létrehozott vezetéknélküli hálózat neve.
Azon túl, hogy a kezelőfelület megváltozott, sokkal áttekinthetőbb és kezesebb lett, mi sokkal gyorsabbnak is érezzük, amikor noteszgépünk egy ismeretlen hálózathoz csatlakozik. Mintha érzékenyebb is lenne - olyan hálózatokkal is kommunikál, amelyeket régebben alacsony jelerősségük miatt csak nagy szenvedések árán lehetett összebeszéltetni. De ami sokkal fontosabb: az operációs rendszer az SP2 után számos titkosítási algoritmust is kezel már. Hogy ez miért kritikus fontosságú, arra az alábbiakban részletesen is kitérünk.
Titkosítsunk!
Vitán felül áll, hogy a Wi-Fi-t élvezet használni. Egy ADSL hozzáférést megosztani, egy átjárót konfigurálni sem igazán bonyolult, de mindegyiknek van egy óriási hiányossága: alaphelyzetben a rádiós adatforgalom teljes egészében "lehallgatható" bárki által, és bárki csatlakozhat hálózatunkhoz, aki hatósugáron belül tartózkodik a Wi-Fi-képes PC-jével.
Azt tapasztaljuk, hogy nagyon sokan rálegyintenek a titkosítás kérdésére, mint valami felesleges piszmognivalóra, mondván: Ugyan már, semmi fontosat nem forgalmazok Wi-Fi-n keresztül, mi bajom lehet? Nos, már abból is probléma adódhat, ha az utcának szolgáltatunk internethozzáférést, de nem valószínű, hogy hívatlan látogatónk megelégszik ennyivel. Tegyük fel, hogy nem törik fel a gépünket, nem nyúlják le az adatainkat - hozzátennénk, nem lesz ilyen szerencsénk, mert egy belső hálózatról ez aztán végképp nem nehéz -, de elég bajunk lehet abból, hogyha pont a mi hozzáférésünket felhasználva visznek véghez valamilyen disznóságot.
Azt hogy milyen titkosítást tudunk használni, a rendelkezésünkre álló hardver szabja meg. Feltételezve a leggyakoribb topológiát - tűzfallal egybeépített átjáró, hagyományos vezetékes hálózaton és Wi-Fi-n keresztül csatlakozó kliensek - a legkritikusabbak az átjáró képességei. Azt javasoljuk, hogy ne legyünk restek, vegyük elő az átjáró dokumentációját, és mélyedjünk el abban, hogy az milyen titkosítási eljárásokat ismer. Sajnos a beállítások elvégzéséhez konkrét tanácsot nehéz adni, hiszen ahány gyártó, annyiféleképpen alakítják ki a vonatkozó menüket, így az egyetlen segítségünk leggyakrabban a leírásban merül ki.
Az azonos gyártótól származó eszközök általában ugyanazokat a protokollokat támogatják, de érdemes lehet utánanéznünk a gyártó weboldalán, hogy van-e frissebb beágyazott program (firmware) annál, ami a mi készülékünkben van, mert gyakran a frissítések pont a biztonsági szabványokat érintik. Az sajnos tény, hogy a kellő türelemmel és idővel rendelkező, képzett netkalóz képes átjönni a Wi-Fi védelmeken, de magunknak teszünk szívességet, hogyha legalább a lelkes amatőr betyárokat kizárjuk. (Nézd, apa! Látok egy idegen hálózatot!)
Infobox
A nevében foglalt ígérettel szemben - Vezetékessel Egyenértékű Biztonság - a Wi-Fi világában ez a biztonsági protokoll igazi mostohagyerek, sokan kritizálják relatíve könnyű feltörhetősége miatt.
- Wi-Fi (Wireless-Fidelity):
A szószerinti fordítás Zsinórnélküli (hangzás)hűség, ám ez természetesen pont olyan butaság, mint amilyennek első olvasásra hat. Nem tudni, hogy a tyúk volt előbb, vagy a tojás, nagy valószínűséggel valakik alkottak egy jópofa, jól hangzó rövid nevet, amibe aztán később magyarázták bele a jelentést.
A valóságban a Wi-Fi Szövetség (www.wi-fi.org) egy nonprofit, nemzetközi szerveződés, melyet 1999-ben azért hoztak létre, hogy az IEEE 802.11 specifikációnak megfelelő, zsinórnélküli hálózati eszközök egymással való együttműködését vizsgálja és erről tanúsítványokat készítsen. A fentebb említett szabványnak megfelelő termékek Wi-Fi logót kapnak - és azt büszkén viselik a csomagolásukon -, így rajtuk maradt ez a név. Összefoglaló jelleggel Wi-Fi-nek szokás hívni minden zsinórnélküli hálózati eszközt.
WEP-et vagy sem?
Az a titkosítás, amely minden Wi-Fi eszközben megtalálható, a WEP. Viszont pont emiatt támadják azzal az egész Wi-Fi technológiát, hogy viszonylag könnyen feltörhető védelemmel van ellátva. Természetesen a 64 vagy 128 bites kódolású WEP jobb, mint a semmi, de ha átjárónk más kódoló algoritmust is ismer, akkor inkább válasszuk azt. Pontosan hogy is fest az az egész a bitekkel?
A WEP hexadecimális kulcsokat használ, azaz betűk és számok "keverékét", A-tól F-ig, illetve 0-tól 9-ig. A 64 bites kódolás 5 darab kétjegyű hexadecimális számot használ, a 128 bites 13 kétjegyűt. (Példa a 64 bites kulcsra: AF 0F 4B C3 D4. Példa a 128 bites kulcsra: C3 03 0F AF 0F 4B B2 C3 D4 4B C3 D4 E7.) Azt a kulcsot, amit az átjárónknál megadunk, a hozzáférés konfigurálásakor, majd a hozzá kapcsolódó összes kliensnél is meg kell adnunk. Eddig még nem is lenne bonyolult a dolog, de vannak bizonyos buktatók. Egyes gyártók átjáróiknál a decimális WEP kulcs használatát is engedélyezik. Anélkül, hogy túlbonyolítanánk a dolgot: célszerű a fentiek szerinti hexadecimális kódolást választani, már csak azért is, mert azt nehezebb visszafejteni, hiszen lényegesen több szóba jöhető elemből áll, mint a decimális.
A példaként felsorolt számokra mindent rá lehet fogni, csak azt nem, hogy könnyű őket fejben tartani, vagy papírról visszapötyögni minden gépnél, ezért sok gyártó beépít az átjárójába egy kulcsgenerátort, amely egy általunk beírt karaktersorozatból - praktikusan szóból - generál egy kulcsot. Csak akkor van értelme ezt a szógenerátort használni, hogyha a hálózatunk összes eleme ugyanattól a gyártótól származik, mert akkor a többi eszközhöz mellékelt meghajtóprogramokban is jó eséllyel megtaláljuk ugyanezt a kulcsgenerátort, és tényleg elég fejben tartani egy meg is jegyezhető kódot.
Azt tudnunk kell, hogy az operációs rendszer a valódi WEP kulcsot fogja kérni, amit a meghajtó majd eljuttat hozzá. Ha nincs ilyen szolgáltatás a többi eszközünk driverében, akkor persze mit sem érünk vele. A 64 bites kódolás rögvest négy kulcs generálására ad módot. Az az alapértelmezett, hogy az elsőt használják az eszközeink. Ha ettől eltérünk, akkor azt külön be kell állítani az átjáró konfigurációs felületén, illetve a csatlakozó eszközöknél is értelemszerűen az általunk preferált kulcsot kell megadni.
Mégegyszer hangsúlyoznánk: A WEP a titkosítás legalacsonyabb szintű minimuma, ezt csak akkor alkalmazzuk, ha a hálózatunk valamelyik eleme régi és nem ismer fejlettebb titkosítást, így csak a végső esetben használjuk, de legalább ezt használjuk!
Infobox
Nevében a végzete
Sok gyártónál az alapértelmezett SSID - a zsinórnélküli hálózat azonosítója - megegyezik a gyártó nevével. Ezt érdemes már az első installáláskor megváltoztatni. Hogy miért? Nos, egyes autóriasztó-gyártók kis matricákat mellékelnek termékükhöz, hogy a szélvédőre ragasztva azok fennen hirdessék: ezt a járművet bizony riasztóval védik. Viszont ha rajta van a gyártó neve - márpedig ott virít -, akkor abban is segítenek, hogy az autótolvaj első ránézésre tudja: ki tud fogni a szerkezeten, vagy nem érdemes próbálkoznia. Nos, az árulkodó SSID pont ilyen felhívás lehet egy táncra az adattolvajnak. Persze az is megérne egy pszichológiai szakdolgozatot, hogy milyen SSID-tól látszunk kevésbé vonzó célpontnak - "Kovacsek", vagy "KGB".
Rendszám-azonosítás!
Minden hálózati eszköznek - vezetékes vagy Wi-Fi - van egy, csak arra a darabra jellemző MAC címe (Media Access Control - Média Hozzáférés Vezérlés). A legtöbb átjáró képes rá, hogy az ilyen fizikai cím - mintegy rendszám - alapján szűrje a hálózathoz való hozzáférést. Ez persze nem váltja ki a titkosítást, de pompásan kiegészíti! Ha tud ilyet az átjárónk, akkor érdemes használni, hiszen megéri a fáradságot az egy-két hálózati eszköz "rendszámának" a bepötyögése, ami az otthoni hálózatunkhoz csatlakozhat.
Wi-Fi hálózat konfigurálás négy lépésben
Mint ahogy azt már említettük, nagyon nehéz általános érvényű tippeket adni a WEP konfigurálásra, mert ahány gyártó, annyiféleképpen alakítja ki az erre szolgáló menüt. Az itt bemutatott módszer azonban, reméljük, segíthet.
1. Alapbeállítások
A legtöbb gyártó kitűnő, lépésről lépésre útmutatót mellékel, igyekezzük ezt használni. Az első lépésben az átjárónknak a külvilággal való kommunikációját állítsuk be. Például ADSL hozzáférés esetén a felhasználónevünket és az összes többi PPPoE protokoll-beállítást, amit megkaptunk internetszolgáltatónktól. Ha egy meglévő hálózatot szeretnénk egy hozzáférési pont segítségével "wifisíteni", akkor az IP-címre lesz szükség. Érdemes rögvest ellenőrizni, hogy a Wi-Fi hálózaton kommunikáló eszköz így, tehát még mindenféle titkosítás nélkül, képes-e kimenni az internetre.
2. Titkosítás, első lépcső
Változtassuk meg az SSID-t a gyárilag beállítottról valami nekünk tetszőre. Talán mondani sem kell, hogy azon nyomban ellenőrizzük is a beállítást egy zsinór nélkül csatlakozó eszköz segítségével. Ha minden rendben, akkor vizsgáljuk meg, hogy melyik a legfejlettebb titkosítási protokoll, amelyet hálózatunk minden vezeték nélkül csatlakozó eleme ismer, és azt használjuk. Amit biztosan kezelni fog minden készülékünk, az a WEP, tehát jobb híján alkalmazzuk legalább ezt. A leírtak szerint állítsunk be egy 128 bites kulcsot, és jegyezzük fel. Adjuk meg ugyanezt a kulcsot a próbára használt gépnek, és ismét ellenőrizzünk!
3. Titkosítás, második lépcső
Amennyiben az átjárónk lehetőséget ad rá, szűrjük a csatlakozni engedett Wi-Fi eszközöket a MAC címük alapján. Egyes modellek képesek megmutatni, hogy a már kommunikáló eszközök milyen "rendszámmal közlekednek", és a listából választhatunk, hogy melyiket engedjük fel, és melyiket tiltjuk. Ha nem így lenne, akkor kénytelenek leszünk minden gépnél manuálisan ellenőrizni a MAC címet - lásd a keretes anyagot -, és kézzel felvinni azt a listába. Természetesen ismét fontos ellenőrizni, hogy minden rendben van-e.
4. Zárjuk be az ajtót!
Minden hozzáférési pont és átjáró konfigurációs felülete jelszóval védhető. Utolsó lépésként - miután meggyőződtünk arról, hogy minden úgy működik, ahogy azt szeretnénk - "zárjuk be magunk után az ajtót", azaz zsinórnélküli hálózatunk agyközpontjából rekesszük ki az illetéktelen belépőket. A beállított jelszó csak rajtunk múlik - bár némelyik eszköz ragaszkodik bizonyos minimális karakterszámhoz -, no meg az is rajtunk áll, hogy azt később se felejtsük el!
Biztonsági lánc a zárak mellé?
Ha már minden működik, akkor megpróbálkozhatunk még egy pár extra lépéssel, hogy picit nagyobb biztonságban érezzük magunkat. A legtöbb átjáró képes arra, hogy ne "kiáltsa bele a csendbe" időről-időre: itt bizony egy Wi-Fi hálózat működik. Keressünk egy "Broadcast SSID", vagy ehhez hasonló nevű funkciót. Ha a szóban forgó szolgáltatást kikapcsoljuk, akkor a már csatlakozott gépek bizonyosan megtalálják a hálózatot, de az újonnan csatlakozni akaró eszközök nehezebben, esetleg egyáltalán nem találják meg a működő hálózatot. Ha állandóan ugyanazok az eszközök csatlakoznak a Wi-Fi-n keresztül, akkor érdemes használni, hiszen a nem kívánt vendégek elől kissé jobban rejthetjük a hálózatunkat. Ha cserélődik a rádiós hálózathoz csatlakozó gépállomány, akkor természetesen jobb nem letiltani ezt a lehetőséget.
Ha az átjáróhoz csatlakozik valamilyen eszköz hagyományos, vezetékes hálózaton keresztül, akkor érdemes megtiltanunk, hogy a Wi-Fi hálózat felől elérhető legyen az átjáró konfigurációs felülete. Ezzel elkerülhetjük, hogy a hívatlan vendégek esetleg kizárjanak minket a saját átjárónk konfigurációs felületéből. (Sajnos arra nem tudunk általánosan működő tippet adni, hogy ezt a pontot hol és hogyan találjuk meg az átjárók menüjében.)
Végezetül egy olyan tipp, amely a vezetékes hálózaton keresztül csatlakozó gépeket is érinti: a legtöbb SOHO hálózat dinamikusan generált IP-címeket használ, és ezeket az átjáró DHCP szolgáltatása generálja a csatlakozó gépeknek. Érdemes megváltoztatni az alapértelmezett tartományt - mely a legtöbb átjárónál a 192.168.0.x -, és az átjáró alapértelmezett címét is - mely általában 192.168.0.1 vagy 192.168.0.100 -, ugyanis a behatolók elsőnek ezekkel a címekkel próbálkoznak majd.
Hozzászólások