pc--08s108_109.pdf

DLA ZAAWANSOWANYCH

Zabezpieczenie sieci bezprzewodowej przed włamaniem

Wi-Fi pod kluczem

Router Wi-Fi, dzięki któremu korzystasz w domu z sieci bezprzewodowej, fabrycznie

jest słabo zabezpieczony. Jeśli nie zmienisz jego domyślnej konfiguracji, twoja sieć

będzie łatwo dostępna nawet dla początkujących hakerów. Pokażemy, jak się dobrze

przed nimi zabezpieczyć. BARTŁOMIEJ MROŻEWSKI

N owoczesny router, nawet je-

Konsekwencje? Jeśli włamywa-

czem jest sąsiad, który chce za dar-

mo korzystać z internetu, odczujesz

to w postaci wolniej działającej sieci

albo szybkiego wyczerpania się pa-

kietu GB, wykupionego od operato-

ra. Gorzej, gdy włamywaczem jest

haker, który chce użyć twojego łącza

do ryzykownych czy niezgodnych

z prawem działań, np. do dalszych

włamań, sterowania botnetem utwo-

rzonym ze zhakowanych wcześniej

komputerów, a nawet do udostęp-

niania nielegalnych danych, np. por-

nograii dziecięcej. Jeśli nielegalną

działalnością zainteresuje się policja,

trai po adresie IP do twojego domu.

W najlepszym wypadku skończy się

to wezwaniem na komendę.

Opiszemy sposoby poprawienia

bezpieczeństwa sieci Wi-Fi i poka-

żemy w warsztacie, jak to zrobić.

Sprawdź poziom

szyfrowania

Poziom szyfrowania ustawionego

w nowych routerach jest zadowalają-

cy. Standard Wi-Fi już od 2006 roku

wymaga implementacji szyfrowa-

nia WPA2 (Wi-Fi Protected Access),

z kluczem AES 256-bit, który dotąd

nie został złamany przy użyciu ata-

ku kryptoanalitycznego. Mimo to

sprawdź swoje urządzenie. Wyko-

nane przez nas proste skanowanie

pobliskich sieci ujawniło, że 2 z 22

punktów dostępowych stosowały

przestarzałą metodę szyfrowania

WEP (Wired Equivalent Privacy),

z 40-bitowym kluczem, który można

łatwo złamać.

Stosowane zabezpieczenie naj-

lepiej zweryikować w panelu ad-

ministracyjnym routera w opcjach

sieci bezprzewodowej. Powinieneś

mieć wybrane szyfrowanie WPA-

-PSK (WPA2-PSK), czyli szyfrowanie

WPA (WPA2) połączone z mechani-

zmem autoryzacji za pomocą hasła

PSK (Pre-Shared Key).

Router może też umożliwiać wy-

bór metody szyfrowania: starszej

TIKP, powiązanej ze standardem

WPA, oraz nowszej CCMP (opcja

w routerze może nazywać się AES),

powiązanej z WPA2. Bezpieczniej-

sza jest ta druga, bo używa 256-bito-

wego klucza, a nie 128-bitowego.

Wymyśl silne hasło

Najsłabszym punktem standardu

WPA-PSK jest hasło. Silny algorytm

zabezpieczający uniemożliwia atak

kryptograiczny, dlatego hakerzy li-

czą na lenistwo użytkowników i ata-

kują hasła, zwykle bardzo proste.

Wiele analiz statystycznych haseł,

sporządzonych na przykładzie baz

danych konkretnych serwisów

(znajdziesz je np. na stronach 1 ,

2 , 3 ), pokazuje, że najbardziej po-

pularnym hasłem jest ciąg znaków

123 456. Wysoką pozycję mają także

password lub Password1. Jak wy-

myślić dobre hasło – patrz ramka

„Silne hasło dostępu”.

Zmień hasło admina

Przy domyślnych ustawieniach

można się zalogować do panelu

administracyjnego routera, będąc

wewnątrz sieci. Zmiana hasła ad-

ministracyjnego do routera jest nie-

zbędna, by haker po włamaniu do

sieci nie mógł się dostać do panelu

administracyjnego i np. nie przejął

całkowitej kontroli nad siecią. Cho-

dzi też o to, by osoby niepowołane

(np. dzieci, sąsiad, któremu dałeś

w ustawieniach. Dobrze jest także

zmienić domyślną nazwę konta ad-

ministracyjnego (zwykle „admin”),

choć nie zawsze jest to możliwe.

Ukryj nazwę sieci

Skutecznym utrudnieniem dla ha-

kera jest zablokowanie funkcji roz-

głaszania nazwy sieci (SSID broad-

Silne hasło dostępu

Hasło w bezpiecznym standardzie szy-

frowania WPA nie może mieć mniej

niż 8 znaków. Za hasło bardzo bez-

pieczne, które będzie odporne na atak

słownikowy, uznaje się takie, które

jest złożone z 13 zupełnie przypadko-

wych znaków z dopuszczalnej puli 95

znaków drukowanych ASCII, na przykład:

ZJhaK8zZd5Ol( . Takie hasło można

wygenerować online, np. na stronie

5 . Jeśli nie chcesz dręczyć pamięci

idealnym hasłem, wymyśl własne, ła-

twe do zapamiętania, ale zadbaj, by

była w nim przynajmniej jedna cyfra,

jedna duża litera i jeden inny znak

(np. PC^Format^11). Siłę własnego

hasła możesz przetestować w serwisie

Microsoftu 6 (patrz ilustracja).

108

PC Format 8/2011

śli ma domyślnie aktywowane

silne szyfrowanie połączenia,

nadal zawiera sporo luk, z których

mogą skorzystać hakerzy. Login

i hasło administracyjne są standar-

dowe i powszechnie znane. Nazwa

sieci bezprzewodowej (SSID) jest

widoczna dla każdego. Router ak-

ceptuje podłączenie każdego kom-

putera, jeśli tylko jego użytkownik

zna hasło – w internecie można

znaleźć bez trudu tzw. tęczowe

tablice, czyli słowniki do odgady-

wania haseł. To wszystko sprawia,

że nawet bez złamania algorytmu

szyfrującego haker może dostać się

do sieci Wi-Fi, jeśli nie będzie sku-

tecznie zabezpieczona.

Zabezpieczenie sieci bezprzewodowej przed włamaniem

DLA ZAAWANSOWANYCH

cast). Standardowo router informuje

o tym, jak nazywa się sieć, dzięki

czemu użytkownik może wybrać

jej nazwę z menu i łatwo się do niej

podłączyć. To jednak funkcja przy-

datna przede wszystkim dla publicz-

nych hotspotów. Ponieważ do swojej

domowej sieci nie chcesz zapraszać

osób postronnych, wyłącz tę funkcję

w panelu administracyjnym route-

ra. Dzięki temu haker oprócz hasła

będzie musiał odkryć także nazwę

twojej sieci.

Musisz również zmienić domyśl-

ną nazwę sieci bezprzewodowej. Za-

zwyczaj jest to nazwa producenta

routera (np. dlink, linksys) albo na-

zwa usługodawcy, jeśli router do-

starczyła irma telekomunikacyjna.

Lepiej unikać popularnych nazw

sieci (statystykę popularnych słów

używanych jako SSID na świecie

znajdziesz na stronie 4 ). Nie uży-

waj także oczywistych haseł typu:

sieć, domek czy imienia, nazwiska

lub nazwy ulicy.

Włącz filtrowanie

adresów MAC

Każda karta sieciowa ma swój uni-

katowy adres identyikacyjny MAC

(Media Access Control). Ustawienie

iltrowania adresów kart sieciowych

pozwala ograniczyć dostęp do sie-

ci bezprzewodowej i przewodowej

wyłącznie do puli zaufanych kom-

puterów. Aby to zrobić, musisz po-

znać adresy własnych komputerów.

Najłatwiej je sprawdzić, wpisując do

linii komend systemu Windows po-

lecenie ipconig/all (w Windows 7

linię komend wywołasz, naciskając

przycisk Start i wpisując w pole wy-

szukiwania cmd ; w Windows XP kli-

kasz przycisk START, potem opcję

Uruchom i wpisujesz cmd ). Wów-

czas Windows wyświetli wszystkie

aktywne interfejsy sieciowe. Adre-

sy MAC są widoczne w linii Ad-

res izyczny , a wyglądają np. tak:

00–1D-30–35-F5–21. Adresy MAC

znajdziesz też w panelu administra-

cyjnym (np. w ustawieniach serwera

DHCP, w statusie, w logach) na li-

ście komputerów podłączonych do

punktu dostępowego.

Jak włączyć funkcję iltrowania,

pokazuje warsztat. Dzięki temu

zabiegowi, nawet gdy haker wła-

mie się do twojej sieci, nie będzie

mógł korzystać z internetu na swo-

im komputerze. Oczywiście, dopóki

nie złamie hasła administracyjnego

routera i nie zmieni ustawień.

Ustaw statyczne IP

Kolejnym zabezpieczeniem jest wy-

łączenie serwera DHCP, czyli me-

chanizmu przydzielania adresów IP

komputerom podłączającym się do

sieci. Zamiast tego w panelu admi-

nistracyjnym ustaw statyczne adre-

Adresy internetowe

1 http://pcformat.pl/u/147

2 http://pcformat.pl/u/148

3 http://pcformat.pl/u/149

4 http://pcformat.pl/u/151

5 http://absynth.pjwstk.edu.pl

6 http://pcformat.pl/u/150

sy IP i powiąż je z adresami MAC

używanych komputerów. Jedyną

niewygodą jest wpisanie stałego IP

i DNS-ów w parametrach protokołu

IP wszystkich komputerów, które

przewodowo lub bezprzewodowo

łączą się z konigurowanym route-

rem. W Windows stosowne opcje

znajdziesz w panelu właściwości

karty sieciowej, w ustawieniach

protokołu IPv4.

Skomentuj artykuł, wysyłając list na adres

redakcja@pcformat.pl

Skonfiguruj router i wzmacniaj bezpieczeństwo sieci Wi-Fi

Na przykładzie panelu administracyjnego route-

ra irmy D-Link pokażemy, jak skonigurować

urządzenie, by poprawić zabezpieczenie sieci

bezprzewodowej. Układ panelu w modelach in-

nych producentów wygląda inaczej, ale znajdu-

ją się w nich takie same opcje.

Silne hasło, ukrywanie nazwy sieci

1 Po zalogowaniu się do panelu administra-

i klinij przycisk z lewej strony. Po wczy-

taniu odpowiedniej karty panelu administracyj-

nego zaznacz opcję n .

kich swoich komputerów. W tym celu dla opcji

zaznacz pole .

2 W sekcji wybierz opcję n ,

cyjnego kliknij w bocznym menu przycisk

. Z listy wybierz opcję n ,

następnie z listy wybierz swój kom-

puter i naciśnij . Parametry maszyn, których

nie ma na tej liście, podaj w polu

i . W polu podaj adres, z jakie-

go ma korzystać twoja maszyna. Teraz pozosta-

je wpisać przydzielony adres w ustawieniach

protokołu IP w systemie Windows.

2 Teraz zaznacz opcję n .

Ograniczy ona dostęp do sieci wyłącznie

do komputerów z adresami MAC, które zaraz

zdeiniujesz. Jeśli łączyłeś się wcześniej z route-

rem z komputera, który masz zamiar autoryzować

w sieci, z listy wybierz jego nazwę,

np. swojego laptopa, i naciśnij .

3 Potwierdź zmianę, klikając n ,

Pułapka na złodzieja

następnie w polu n

wpisz silne hasło i zapisz zmiany, klika-

jąc przycisk n .

W taki sam sposób potwierdzaj wszystkie mody-

ikacje opisane w kolejnych krokach warsztatu.

2 Kliknij zakładkę w górnym menu,

i powtórz zabieg dla wszystkich

komputerów, jakich chcesz używać w sie-

ci. Pamiętaj, że jeśli łączysz się z routerem przez

smartfon z Wi-Fi, telefon także musisz w ten

sposób autoryzować. Jeśli jakiegoś urządzenia

nie ma na liście, wpisz jego MAC i nazwę ręcz-

nie, odpowiednio w polach n .

Jeśli chcesz sprawdzić, kto podkrada ci łącze, możesz

pobawić się w detektywa, ale wymaga to trochę

zachodu. W uproszczeniu:

1 Kup na Allegro stary hub ethernetowy, który

różni się od nowoczesnego przełącznika (switcha)

tym, że nie kieruje pakietów danych przesyłanych

w sieci do określonego portu, tylko rozsyła je do

wszystkich portów.

2 Do jednego portu w hubie podłącz bezprzewodo-

wy punkt dostępowy z wyłączonymi zabezpieczeniami,

do drugiego podłącz komputer.

3 Zainstaluj program do monitorowania sieci Wire-

shark (www.wireshark.org), który może pracować

w trybie przechwytywania całego ruchu, docierają-

cego do adaptera sieciowego w komputerze.

4 Po włączeniu przechwytywania będziesz mógł

sprawdzić w logach, jakie komputery łączą się z twoją

otwartą siecią. Poznasz ich IP oraz nazwę sieciową,

po której – przy odrobinie szczęścia – zorientujesz

się, kto kradnie ci łącze.

by przejść do miejsca, gdzie można zmienić

hasło administracyjne. W polu podaj

dotychczasowe hasło, a w polach

oraz wpisz nowe silne hasło.

3 Z górnego menu wybierz zakładkę

i po lewej stronie kliknij przy-

cisk . Następnie znajdź opcję rozgła-

szania nazwy sieci i zaznacz przy

niej opcję .

Filtrowanie adresów MAC

1 Aby włączyć funkcję iltrowania adresów

Ustawienie statycznego IP

1 Kliknij zakładkę , a po lewej stro-

MAC, pozostań w zakładce

PC Format 8/2011

109

nie panelu przycisk . Teraz możesz

wyłączyć serwer przydzielający automatycznie

adresy IP i ustawić statyczne adresy dla wszyst-

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: