Je vaša domáca bezdrôtová sieť bezpečná?
V dnešnej dobe plnej smartfónov, tabletov a kadejakých iných –ov si už nedokážeme predstaviť život bez pripojenia na internet. Časy, kedy ste museli na pripojenie čakať 5 minút a popri tom ste počúvali krásnu symfóniu zvukov Vášho modemu sú už dávno za nami. Vo väčšine prípadov je už mobilný internet samozrejmosťou a pocit, že sme stále dostupní je na nezaplatenie. Ale povedzme si úprimne, prečo by sme mali využívať dátové pripojenie mobile, keď sedíme v pohodlí nášho domova a vedľa počítača vám bliká Wi-Fi router?
Niekto ma sleduje.
Mnohí z Vás si určite neuvedomujú, akú škodu dokáže zdatnejší útočník spôsobiť, pokiaľ nemáte Vašu domácu sieť dobre zabezpečenú. A to nehovoríme len o tom, že by cez Vaše pripojenie surfoval na internete. Pripojenie DSL internetu funguje tak, že Vám poskytovateľ služieb priradí verejnú IP adresu a Váš router pomocou NAT služby vykoná preklad verejnej adresy na privátnu – taká, akú používate vo vašej sieti a nie je prístupná z vonku. Každý počítač tak vo vašej privátnej sieti predstavuje len jednu adresu – aj keby tých počítačov bolo 100. Teda pokiaľ by sa útočník pripojil k vašej sieti a spáchal nejaký zločin, polícia vystopuje vašu verejnú IP adresu a ako prvého môže obviniť Vás.
Niekedy len stačí, aby útočník zistil heslo do vašej sieti a dokáže odpočúvať všetko čo robíte. Páčilo by sa Vám, keby za vami celý deň behal neznámy človek a zapisoval si všetko čo robíte? Všetky vaše prihlasovacie údaje do rôznych služieb, vaše stlačené klávesy a pod. ? Určite nie. Sledovanie na internete si môžeme predstaviť úplne rovnako. Pokiaľ máte zdieľaný nejaký priečinok, útočník môže získať prístup aj k nemu, čím sa dostane k dátam vo vašom počítači. Je to ako keby k Vám domov hocikedy niekto vošiel a začal sa prehrabávať vo vašej chladničke. Určite by Vám to nebolo príjemné.
Ukážem Vám niekoľko tipov ako zabezpečiť vašu bezdrôtovú sieť a ako sa čo najúčinnejšie vyhnúť narušeniu bezpečnosti siete.
SSID – to mi niečo hovorí…
Skratka SSID predstavuje názov sieti, ktorý je vysielaný všetkým bezdrôtovým zariadeniam v okolí. SSID môžeme považovať za prvý krok k zabezpečeniu sieti – prvá informácia, ktorú útočník uvidí. Odporúča sa používať taký názov, ktorý medzi vami a vašou sieťou nevytvorí žiadnu jasnú súvislosť. V mnohých prípadoch (týka sa to hlavne domácností) je vhodné SSID siete skryť. Útočník vašu sieť neuvidí a tak ostanete aspoň do určitého času chránený. Samozrejme, tí zdatnejší si dokážu zobraziť aj skryté siete a preto prejdeme k ďalšiemu druhu zabezpečenia.
Prihlasovacie údaje sú dôležité.
Každé zariadenie je po kúpe potrebné konfigurovať – zadať prístupové údaje, ktoré ste obdržali od poskytovateľa služieb, zapnúť bezdrôtovú sieť a pod.. Pri pristupovaní k zariadeniu cez webové rozhranie, je potrebné zadať meno a heslo. Väčšina sieťových prvkov do domácností má prihlasovacie údaje admin/admin alebo user/user. Na stránkach výrobcov takúto informáciu určite nájdete. A práve toto môže byť kameňom úrazu. Ak sa podarí útočníkovi pripojiť na vašu sieť, dokáže sa tiež dostať do konfiguračného rozhrania vášho zariadenia a prestaviť dôležité parametre, prípadne mu stačí nasadiť program, ktorý bude sledovať vašu aktivitu na internete. Je potrebné brániť sa voči takémuto neoprávnenému prístupu, preto by malo byť základom zmeniť tieto údaje podľa odporúčaných tipov na bezpečné heslo. Užívateľské meno môžete zmeniť napr. na adm1n a ako heslo sa odporúča používať nič nehovoriaci text, ktorý sa skladá z alfanumerických znakov (veľké a malé písmená, čísla).
Šifrujem, šifruješ, šifrujeme…
Najpodstatnejším krokom pri tvorbe kvalitne zabezpečenej Wi-Fi siete je šifrovanie. V roku 1997 vznikol prvý spôsob šifrovania bezdrôtových sietí s názvom WEP. Avšak už v roku 2001 bol prelomený, takže musíte uznať sami – nie je asi veľmi bezpečný, že?
Jeho nasledovníkom je WPA. V dnešnej dobe už vo verzii 2 – WPA2. Pre domácnosti sa používa WPA2-personal, ktorý nevyžaduje overovací server pri kontrole hesla. Pri tomto protokole si môžete tiež nastaviť druh šifrovania. V klasických domácich routeroch poznáme dva druhy – AES a TKIP. AES šifrovanie je spoľahlivejšie a účinnejšie avšak môže nastať problém s kompatibilitou so staršími zariadeniami. TKIP poskytuje silné zabezpečenie avšak odporúča sa využívať šifrovanie AES.
Pri nastavovaní protokolu WPA2 je potrebné zadať aj PSK (pre-shared key). Je to prakticky heslo do siete. Pri tvorbe hesla opäť môžeme využiť alfanumerické znaky.
Zadaný PSK kľúč je len ilustračný.
Filter MAC adries – ochrana voči útoku?
Drvivá väčšina domácich routerov a prístupových bodov (AP) má vo svojich nastaveniach možnosť filtrovania MAC adries. V praxi to znamená, že nastavíte MAC adresy, ktoré sa môžu do siete pripájať a všetky ostatné bude naše zariadenie odmietať. Jedná sa o relatívne silnú ochranu, keďže útočník musí mať adresu zadanú v systémových nastaveniach routera. V súčasnosti však existuje niekoľko spôsobov ako môže útočník túto adresu zistiť a duplikovať ju na svoje zariadenie a získať tak prístup do siete. Napriek tomu je však filtrovanie MAC adries spoločne so statickými IP adresami jednou z účinných techník ako sťažiť útočníkovi prístup do siete.
Pokiaľ bývate v paneláku a okolo Vás bývajú výhradne dôchodcovia, narušenia domácej siete sa zrejme obávať nemusíte. Rovnako ak máte starší router, ktorého dosah ledva stačí na pokrytie vášho bytu. Čo ak však máte výkonnejšie zariadenie a váš signál chytá ešte aj sused o 3 poschodia vyššie? Dokáže pokojne využívať internet banking keď viete, že Vás môže odpočúvať ďalších 10 ľudí?
Bezpečná domáca sieť je jednou z možností, ako si chrániť svoje súkromie a ako udržať svoje citlivé osobné údaje skryté pred zrakmi ľudí, ktorí Vás chcú poškodiť alebo okradnúť.
Tomáš Paulus
Vyjadrite váš názor v komentároch