Domácí WIFI bezdrátová síť


Zabezpečení domácí WIFI sítě

Vlastní vyhledávání Googlem na stránkách cestuji.info

Google


cestuji.info -  cestopisy


Běžná domácí wifi síť pravděpodobně neobsahuje data, která by byla pro hackery extrémně zajímavá. Není zde obvykle k mání ani archiv KGB, ani nějaké průmyslové tajemství. Přesto na nás může někdo prostřednictvím špatně zabezpečené wifi sítě zaútočit - v tomto případě ale pravděpodobně bude pachatelem šikovný sousedův syn, který se snaží vyzkoušet metody, o kterých se někde dočetl a ne nějaký profesionální hacker.

Pro potřeby tohoto článku rozdělím zabezpečení domácí wifi sítě do tří oblastí, které spolu ovšem v mnoha ohledech souvisejí nebo se dokonce překrývají. Pořadí volím podle pravděpodobné četnosti útoků:

1. Krádež konektivity

My platíme účty za internet, ale soused si na naše náklady zadarmo stahuje z internetu filmy. S tímto může být spokojený soused, ale pro každého nás to je předpokládám nežádoucí. Navíc pokud se soused bude chovat na internetu závadným způsobem (bude třeba stahovat/sdílet dětskou pornografii), bude případné vyšetřování směřováno na nás.

2. Odposlech našeho internetového provozu

Není asi příliš žádoucí, aby se nějaký puberťák chichotal nad obsahem našich mailů, případně si přímo odposlechl hesla do emailových schránek nebo na FTP server.

3. Útok na náš počítač

Data na našem HDD jsou naše a nikomu jinému po nich nic není. Máte snad jiný názor?

Metody ochrany WIFI sítě:

WPA nebo WPA2 šifrování provozu sítě

Pomineme-li řízení šifrování pomocí radius serveru, které v domácích podmínkách není zrovna časté, je nejlepším a už samo o sobě postačujícím způsobem zabezpečení šifrování dat podle standardu WPA-PSK nebo WPA2-PSK (se statickým klíčem, pre-shared key). Podmínkou bezpečnosti je ovšem dostatečně silný PSK klíč (heslo) a vypnutý WPS / QSS, viz níže.
Doporučuji klíč dlouhý alespoň 20 znaků, který obsahuje písmena, číslice a speciální znaky. (Například rodné číslo, Karel1234 nebo číslo telefonu není dobré heslo...)
WPA a WPA2 s dobrým heslem poskytuje vynikající ochranu proti všem třem výše vyjmenovaným útokům a to i při akceleraci rychlosti útoku na šifru pomocí grafické karty nebo proti lámání hesla na síti počítačů zotročených nějakým rootkitem.


Poznámka: jak se vlastně útočí na WPA/WPA2?
WPA používá šifrování RC4, WPA2 silnější AES. Obě tyto šifrování jsou natolik silné, že je nelze v reálných podmínkách prolomit. Proto hackeři používají útok na slabé místo: na šifrovací klíče. Spoléhají na lidskou lenivost a promiňte mi ten výraz, blbost. Lidé často pro svou pohodlnost používají jednoduchá, snadno předvídatelná, krátká hesla.

Útok brutální silou: hacker vyzkouší postupně všechny možné kombinace. Pokud máme heslo například jenom z číslic a má 8 nebo 9 znaků, je tu jakási šance na úspěch.

Tabulkové útoky: hackeři si sestavili tabulky, do kterých shromáždili nejčastěji používaná hesla (nejenom slova, ale i telefonní čísla, rodná čísla atd.) a ty mohou postupně vyzkoušet. Proto je důležité použít heslo, které se nedá snadno předvídat.

Předpočítané útoky: výše uvedené tabulky hackeři zkombinovali s nejčastěji používanými SSID acces pointů a tyto kombinace dopředu spočítali a někde uložili. Hacker si takovou předpočítanou tabulku stáhne (nebo sám předpočítá, ale bývá to kolektivní práce). Pak už jenom porovná hash, který zachytí z vašeho AP s touto tabulkou (a to jde velmi, velmi rychle) a pokud má štěstí, zjistí během několika vteřin vaše heslo.

WPS / QSS: Výrobci ve snaze usnadnit uživatelům připojování počítačů k wifi vymysleli metodu, která se nazývá WPS (Wifi protected setup), respektive QSS (Quick secure setup). Bohužel to nedomysleli, protože jedna metoda umožňuje na klientském počítači zadat osmimístný PIN routeru, přičemž wifi-router počítači "oznámí", jestli jsou správně zadaná první 4 čísla PINu. Takže hackerovi stačí hádat 4 čísla a v druhé části 3 čísla osmimístného pinu (poslední číslice je jenom kontrolní součet).
Doporučení:
Zakažte WPS / QSS ve webové administraci wifi-routeru, jakmile ho už nebudete potřebovat (pokud jste tuto funkci vůbec kdy použili) . Pokud ho necháte trvale zapnutý, je to díra jak vrata do zabezpečení.

Příklad vypnutí QSS na wifi-routeru TP-link

Shrnutí: Dlouhé (20 znaků+) složité (číslice, velká/malá písmena, speciální znaky) WPA/WPA2 heslo + vypnutí WPS / QSS vás proti takovým útokům spolehlivě ochrání.



Nejčastější chyby při konfiguraci wifi-routerů, které mají vliv na bezpečnost

Nezměněné heslo do administrace nebo slabé heslo do administrace Kombinace uživatelkého jména a hesla admin/admin nebo admin/1234 rozhodně není bezpečná. Použijte silné heslo. TIP: napište si ho tužkou na spodní stranu routeru, abyste ho nezapomněli

Povolená webová administrace z WAN. Zejména pokud váš router má veřejnou IP-adresu, zakažte přístup do webové administrace z WAN. Pokud to jde, doporučuji zakázat přístup do administrace i z WiFi – ne každý, komu sdělíte heslo k wifi, by měl mít přístup do administrace vašeho routeru.

Slabé šifrování wifi (WEP) nebo slabé heslo nebo nešifrovaná wifi, spoléhání na přednastavené šifrovací heslo WEP není bezpečné, nepoužívejte ho. Nastavte šifrování WPA2 a silné, neslovníkové heslo. (Hesla typu telefonní číslo, rodné číslo, Karel1234 bezpečná NEJSOU) Pokud si koupíte wifi-router, který má nějaké šifrovací heslo nastavené z výroby, změňte ho. Jsou známy případy, kdy jde přednastavené WPA heslo odhalit například na základě znalosti MAC-adresy (a tu si hacker může snadno odposlechnout).

Povolená funkce WPS / QSS s PIN Zakažte ve webové administraci funkci WPS / QSS (zjednodušené připojování zařízení) pomocí PINu. Pin je sice osmimístný, tedy teoreticky relativně bezpečný, ale ve standardu je fatální bezpečnostní chyba, díky níž ho lze snadno prolomit

Nezměněné SSID V přednastaveném SSID je často vypsán přesný typ routeru, což případnému útočníkovi může napovědět, jaké slabiny vaše zařízení má. Druhý problém je, že pro výchozí SSID mají hackeři „předpočítané“ útoky na WPA šifrování, tedy místo desítek hodin dokážou běžná šifrovací hesla odhalit za několik minut. Nastavte si proto nestandardní název wifi sítě („Muj Mikrotik“, Wifi doma“, „Karel256“…)

Neaktualizovaný firmware routeru. Výrobci ve firmwaru „zalepují“ objevené bezpečnostní chyby, tedy obecně platí, že novější firmware je bezpečnější.



Pokud ovšem některé z našich zařízení ještě standard WPA nepodporuje (z dnešního pohledu muzeální hardware, veškerá dnes prodávaná zařízení zvládají WPA2), je situace daleko složitější.

Šifrování WEP

Existují bohužel způsoby, jak toto šifrování během několika desítek minut prolomit (například pomocí programu Aircrack). Je jedno, jestli použijeme 64-bitové nebo 128-bitové heslo statické nebo s rotací - výsledek je vždy stejný: pokud někdo bude chtít, do sítě chráněné WEP šifrováním se dostane.

Pokud jsme nuceni toto šifrování použít, je možno nasadit ještě doplňkové ochrany, ale upozorňuji předem - ani tak se nám nepodaří síť dokonale zabezpečit:

Kontrola MAC-adres

Oblíbenou a bohužel příliš přeceňovanou metodou je řízení přístupu pomocí MAC-adres. Proč přeceňovanou?
Při spojení je MAC-adresa přenášena v nezašifrovaném tvaru. Kdokoliv, kdo má nějaký program na odposlech wifi-sítí (Aircrack, Wireshark, Comm View...) ji okamžitě vidí a je otázkou několika vteřin, než si nastaví na svém počítači stejnou. Pokud si nastaví i stejnou IP-adresu, jaká je na našem počítači (tu si zjistí odposlechem WIFI-paketů třeba pomocí programu typu Wireshark nebo CommView for Wifi), nic mu již nebrání surfovat na náš účet. Pokud si vetřelec přivlastní identitu jednoho z našich počítačů, může zaútočit na jiný z našich počítačů.

Omezení území pokrytého signálem

Pokud leží všechny naše přijímače (počítače, AP v ežimu klient atd) v jednom směru od našeho AP, je možné s výhodou použít směrovou anténu. Případný útočník by musel být ve směru antény.

Skrytí SSID na AP

Opět oblíbená a bohužel opět přeceňovaná metoda. Je sice pravda, že bez znalosti SSID se není možno k síti připojit, ale i když SSID skryjeme, je možné ho pasivním odposlechem odhalit obvykle během několika minut (například programem Airmon, součást Aircracku). Podmínkou je jenom to, aby na naší síti byl nějaký provoz.

Změna SSID na AP

Pokud na svém AP ponecháte defaultní SSID, můžete tím hackerovi poskytnout nápovědu, jaké zařízení používáte, jaké má slabiny, umožníte mu pokus o útok na vaše WPA heslo pomocí předpočítaných tabulkových útoků... Jsou to spíše teoretické úvahy, ale změnou defaultního SSID chybu určitě neuděláte. (Pokud byste chtěli být opravdu důslední, měli byste změnit i MAC-adresu AP (pokud to jde), protože i z MAC se dá zjistit typ AP/routeru/wifi-routeru...)

Vypínání WIFI v době, kdy ho nepoužíváme

Když je AP vypnutý, nikdo nám nemůže krást konektivitu. Je to trochu nepraktické, ale účinné.

Použití neobvyklých rozsahů IP-adres / masek

Pokud použijeme masku sítě například 255.255.128.0, může to vetřelce trochu zmást.


Další metoda ochrany proti odposlechu provozu již přímo nesouvisí s WIFI, je možné ji použít i u kabelových připojení:

Šifrovaný VPN-tunel

Princip: na našem počítači si nainstalujeme speciální klientský software, který zajistí, že naše data, která by za normálních okolností putovaly například přímo na náš poštovní server, jsou nejprve poslány v zašifrované podobě na VPN server, který je pak pošle dále. Odpovědi přijme opět VPN-server a pošle nám je do počítače v zašifrované podobě. Příkladem takového SW je například VPN Anonymizer od firmy 2GM.
Teoreticky může naše data někdo zachytit na trase mezi VPN serverem a cílovým serverem, dá se ale očekávat, že na druhém konci republiky nebudou naše data nikoho až tak moc zajímat.


Poznámka:

Nezapomeňte zavřít "zadní vrátka": zakažte na svém routeru (wifi-routeru, adsl-modemu s routerem...) přístup do webové administrace z WAN-portu, pokud je WAN připojený do internetu. Dále v každém případě změňte defaultní heslo pro přístup do webové administrace - existují triky, jak se na přístupovou stránku administrace může hacker dostat třeba pomocí zmanipulované webové stránky a pokud bude znát heslo (často je to admin nebo 1234), tak si tam může nastavit, co chce.

Poznámka 2:

Aby fungovalo zabezpečení WPA2 na počítači s Windows XP SP2, musí být nainstalovaný http://support.microsoft.com/kb/893357. Kdo má nainstalovaný SP3, nemusí se o tuto aktualizaci starat - je obsažena v SP3.

Na začátek stránky
Zpět na Digitální střepiny

Spřátelené stránky: ACR-Engineering, Konstrukční kancelář ACR, Volání dálek,