Jeśli mamy ruter zapewniający wielu urządzeniom w domu bezprzewodowy dostęp do internetu i domowej sieci, bardzo ważne jest zadbanie o bezpieczeństwo. Nie chcemy przecież, aby ktoś włamał się do naszej sieci i wyrządził szkody.

Mało kto obecnie planuje w mieszkaniu sieć przewodową – znacznie prościej i wygodniej jest korzystać z sieci bezprzewodowej. Wydajność takiego rozwiązania na ogół jest zadowalająca. Zresztą wiele urządzeń, jak tablety i smartfony, nie może być podłączona do sieci przewodowej (LAN). (Tak naprawdę jedynie jeśli potrzebujemy stabilnego i bardzo szybkiego transferu w sieci lokalnej, na przykład pomiędzy komputerem stacjonarnym a serwerem NAS, warto w domu zdecydować się na sieć przewodową – jak Gigabitowy Ethernet, który zapewnia transfer do 125 MB/s przy wykorzystaniu jednego przewodu).

Wszyscy z reguły korzystamy więc z internetu bezprzewodowo. O jednej sprawie musimy jednak pamiętać. Sieć bezprzewodową trzeba odpowiednio zabezpieczyć. Jeśli ktoś niepowołany podłączy się do niej, może narobić nam szkód. Pół biedy, jeśli będzie to sąsiad korzystający z naszego internetu, żeby zaoszczędzić na swoim rachunku. Znacznie większe kłopoty może spowodować osoba, która włamie się do naszej sieci w konkretnym celu – na przykład by wykraść dane logowania, choćby do banku lub poczty. 

Do zabezpieczenia domowego Wi-Fi możemy podejść na kilka sposobów. Każda metoda podnosi ogólny poziom bezpieczeństwa, dlatego warto krok po kroku uszczelniać swoją sieć. Pamiętajmy, że osoby, które łamią zabezpieczenia, potrafią wykorzystać wiele szczegółów dla większości z nas łatwych do przeoczenia.

Najlepszym kompromisem pomiędzy bezpieczeństwem a łatwością konfiguracji dla użytkowników domowych jest korzystanie z uwierzytelniania typu WPA2 Personal z szyfrowaniem AES. Istnieją bardziej bezpieczne rozwiązania, na przykład WPA2 Enterprise z serwerem RADIUS, ale dla większości użytkowników konfiguracja takich zabezpieczeń jest zbyt trudna. 

Trudne pojęcia

Adres MAC - indywidualny sprzętowy adres karty sieciowej nadawany przez producenta. Można go zmienić.

DHCP - protokół dynamicznego konfigurowania hostów – protokół komunikacyjny umożliwiający hostom uzyskanie od serwera danych konfiguracyjnych, na przykład adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski podsieci. 

Serwer Radius - usługa zdalnego uwierzytelniania użytkowników próbujących połączyć się z siecią, wykorzystywana dla sieci telefonicznych, połączeń tunelowych i sieci bezprzewodowych.

SSID (Service Set Identifier) – identyfikator sieci składający się z maksymalnie 32 znaków. Pełni rolę loginu do sieci i jednocześnie jej nazwy, którą widzi użytkownik.

Szyfrowanie AES (Advanced Encryption Standard) – jest to szyfr blokowy symetryczny, każdy blok składa się ze 128 bitów. Długość klucza może wynosić 128, 192 i 256 bitów. Jest to szyfr wykorzystywany na całym świecie nawet przez agencje amerykańskie do szyfrowania tajnych dokumentów.

Uwierzytelnianie - proces, który polega na potwierdzeniu tożsamości podmiotu, który bierze udział w procesie komunikacji (na przykład czy komputer A jest w rzeczywistości komputerem A).

WPA2 - Wi-Fi Protected Access 2 – protokół zabezpieczenia sieci bezprzewodowych, stosujący szyfrowanie AES, który wykorzystuje dynamiczne, 128-bitowe klucze kryptograficzne, ma poprawione wszystkie luki znalezione w protokole WEP oraz WPA. WPA nie jest bezpieczny od około 2010 roku i zaleca się obecnie stosowanie tylko protokołu WPA2-AES.

Wybieramy protokół zabezpieczenia sieci i szyfrowanie

W zależności od modelu rutera możemy spotkać się z różnymi domyślnymi ustawieniami. Nie zawsze są one optymalne pod względem bezpieczeństwa użytkowników. Użytkownicy domowi powinni wybierać protokół WPA2 Personal z szyfrowaniem AES. 

Protokół WPA domyślnie korzysta z szyfrowania TKIP, podatnego na ataki kryptograficzne, których dość dobrze zoptymalizowane wersje są dostępne w sieci. Jeśli chodzi o zabezpieczenie WPA-PSK, to jest ono podatne na specjalnie generowane ataki słownikowe i również nie jest zalecane. 

Aby zmienić ustawienia zabezpieczeń sieci, logujemy się do panelu zarządzania rutera i szukamy zakładki Wireless lub Advanced, Wireless, Wireless Settings. Potem musimy po prawej stronie wybrać odpowiednie ustawienia i zatwierdzić zmiany. W większości przypadków oznacza to konieczność ponownego zalogowania się na każdym urządzeniu łączącym się z ruterem drogą bezprzewodową.

Domyślne hasła dostępu do sieci

Bardzo ważne jest, aby zmienić standardową nazwę sieci bezprzewodowej oraz hasło dostępu. Jeśli nasz ruter udostępnia sieci w dwóch częstotliwościach, dokonujemy zmian dla każdej z nich. 

Na szczęście w nowych modelach od razu przy pierwszym podłączeniu jesteśmy proszeni o podanie nowego hasła dostępu do urządzenia, jak również o podanie nowego hasła dostępu do sieci bezprzewodowej. Zmiana hasła jest prosta, wystarczy zalogować się do panelu administracyjnego naszego urządzenia, następnie odnaleźć sekcję Wireless, a potem podać nowe hasło i zapisać zmiany.

Aktywna funkcja WPS

Wiele ruterów domyślnie ma aktywną funkcję WPS (Wi-Fi Protected Setup), co jest potencjalnie niebezpieczne. Funkcja ta pozwala na szybkie, łatwe podłączanie urządzeń do sieci dzięki prostemu kodowi PIN. Sprawia, że możemy podłączać nowe urządzenia bez wpisywania skomplikowanego hasła. Jednak WPS ma luki w zabezpieczeniach i ze względów bezpieczeństwa nie poleca się korzystania z tej opcji. Po pierwsze, luki pozwalają atakującemu na dość proste złamanie zabezpieczenia. Po drugie, zabezpieczenia przed atakami siłowymi na WPS nie dają 100-procentowej ochrony. Dlatego jeśli nie korzystamy z tej opcji, warto ją całkowicie wyłączyć. Po zalogowaniu się do panelu administratora szukamy zakładki Wireless i WPS. Wystarczy wyłączyć opcję Enable WPS.

Mity dotyczące zabezpieczeń sieci bezprzewodowych

W wielu poradnikach w internecie możemy znaleźć informacje dotyczące zwiększenia zabezpieczeń sieci. Jednak czy wszystkie są prawdziwe? Poznajmy kilka najbardziej popularnych mitów dotyczących zabezpieczeń sieci Wi-Fi.

Ukrycie SSID sieci

Mit: Praktycznie każdy ruter pozwala na ukrycie identyfikatora sieciowego. Dzięki temu teoretycznie osoba, która nie zna nazwy naszej sieci, nie będzie w stanie się z nią połączyć, nawet jeśli znałaby hasło. Jak jest w rzeczywistości? Jest to FAŁSZ.

Odkrycie SSID ukrytej sieci nie jest trudne. Wystarczy chwila, jeśli z sieci korzysta aktywnie kilku użytkowników. W dodatku jeśli ukryjemy naszą sieć, stajemy się bardziej podatni na atak. Osoba, która chce poznać hasło sieci, musi tylko utworzyć fałszywy punkt dostępu i sprawić, że rozłączymy się z naszą siecią (co nie jest skomplikowane). Wtedy nasza karta sieciowa w pierwszej kolejności połączy się z widoczną siecią – fałszywą. Zostaniemy poproszeni o podanie hasła i prawdopodobnie odruchowo je podamy, myśląc, że to wymagane, a tym samym zdradzimy swoje zabezpieczenie atakującemu.

Wyłączenie serwera DHCP

Mit: DHCP pozwala ruterowi na dynamiczne przydzielanie adresów IP dla łączących się z siecią urządzeń. Jeśli wyłączymy taki serwer, będziemy mogli przydzielać statyczne adresy IP, indywidualne dla każdego urządzenia. Dzięki temu atakujący po włamaniu się do sieci nie dostanie przydzielonego adresu i nie będzie miał dostępu do naszej domowej sieci. Jest to – w pewnym sensie – FAŁSZ. 

Z jednej strony w przypadku aktywnego serwera DHCP jesteśmy bardziej podatni na ataki typu MitM (Man in the Middle – atak polegający na podsłuchu i modyfikacji wiadomości przesyłanych między dwiema stronami bez ich wiedzy) i po włamaniu atakujący od razu ma przydzielony adres. Jednak w przypadku statycznego adresu IP proces połączenia się z siecią może wydawać się trudniejszy, jednak tylko z pozoru. Atakujący może czekać i śledzić pakiety przychodzące i w ten sposób wykryć adresy IP, które pozwalają na uzyskanie dostępu do sieci. Tak więc wyłączenie DHCP znacznie utrudnia zwykłemu użytkownikowi korzystanie z sieci, a nie powstrzyma atakującego, który złamał hasło dostępu do Wi-Fi.

Korzystanie z filtrowania MAC

Mit: Ponieważ każde urządzenie sieciowe, w tym karty sieciowe, mają unikalne adresy MAC, jeśli wykorzystujemy opcję filtrowania adresów MAC w naszym ruterze i zezwalamy na dostęp tylko wybranym klientom, będziemy bezpieczni, bo nawet jeśli ktoś złamie zabezpieczenia naszej sieci, nie uzyska do niej dostępu. Jest to FAŁSZ.

W teorii informacja podana powyżej jest jak najbardziej prawdziwa, jednak jeśli atakujący ma odpowiednią kartę sieciową, bez problemu może przypisać jej dowolny adres MAC. Korzystając z odpowiedniego skanera, bardzo szybko odnajdzie adresy urządzeń, które łączą się z ruterem, zmieni swój adres na jeden z nich, a następnie bez problemu uzyska dostęp do naszej sieci. Nie jest to skomplikowana procedura. Zatem to rozwiązanie, które jest bardzo uciążliwe dla korzystającego na co dzień z rutera, nie jest dużym utrudnieniem dla doświadczonego atakującego. Filtrowanie MAC może spełnić swoje zadanie w przypadku, gdy naszą sieć atakuje amator.

Jakie dodatkowe kroki możemy podjąć, by poprawić bezpieczeństwo sieci

Wyłączamy zdalny dostęp do rutera

Obecnie ta funkcja jest domyślnie wyłączona w większości nowych urządzeń – ale warto się co do tego upewnić. Funkcja ta pozwala na uzyskanie dostępu do rutera z zewnątrz, z internetu. Oznacza to, że jeśli ktoś zna nasz publiczny adres IP, a nasze urządzenie ma lukę w zabezpieczeniach, atakujący może uzyskać w łatwy sposób dostęp do naszego rutera oraz do całego ruchu generowanego przez naszą sieć.

Jeśli chcemy sprawdzić stan tej opcji, logujemy się do panelu zarządzania ruterem oraz szukamy zakładki Access Control. W niej znajdziemy opcję dostępu do rutera z internetu. Powinna być wyłączona.

Ustawienia Firewalla

Domyślnie zdecydowana większość ruterów ma wyłączone specjalistyczne zabezpieczenia przed atakami DoS, ponieważ niepotrzebnie zużywają zasoby urządzenia i bardzo rzadko klient indywidualny jest narażony na tego typu atak. 

Jednak jeśli chcemy czuć się bardziej bezpiecznie, możemy aktywować wszystkie zabezpieczenia – tak naprawdę mało kto zużywa wszystkie zasoby swojego rutera, a dodatkowe aktywne zabezpieczenie zawsze może się przydać. Odpowiednie ustawienia najczęściej znajdziemy w zakładce Security, Firewall – wystarczy tylko je aktywować.

Zmniejszenie mocy nadawania

Jest to dość niecodzienne rozwiązanie, dzięki któremu zmniejszamy moc sygnału nadawanego przez nasz ruter.

Co to daje? Uniemożliwia na przykład osobie z laptopem, choćby w samochodzie niedaleko naszego domu, podpięcie się do naszej sieci – po prostu nie będzie odpowiedniego zasięgu. Nie wszystkie urządzenia pozwalają na takie rozwiązanie, musimy też zdawać sobie sprawę, że ograniczamy przepustowość naszej sieci, jeśli nasze urządzenia nie będą pracowały z maksymalnym zasięgiem. 

Takie ustawienia znajdziemy najczęściej w zakładce Advanced, Wireless, Wireless Settings. Musimy odszukać pole Transmit Power lub Rx Power. Należy odpowiednio zmniejszyć moc, tak aby w naszym domu zasięg był dobry, a poza jego murami obce osoby nie mogły uzyskać połączenia.

Korzystanie z publicznych sieci bezprzewodowych

Jeśli zależy nam na bezpieczeństwie, musimy pamiętać o tym, że kiedy korzystamy z publicznych punktów dostępu, należy odpowiednio zabezpieczyć się przed różnego typu atakami. Największe ryzyko niesie za sobą możliwość podsłuchiwania pakietów danych, które wychodzą i przychodzą do naszego urządzenia. Jeżeli nie musimy, nie logujemy się do ważnych kont – bankowych, pocztowych itp. Więcej o zachowaniu bezpieczeństwa w otwartych sieciach przeczytamy w poradniku Bezpieczne korzystanie z otwartego Wi-Fi, znajdziemy tam też informacje o ryzyku związanym z utratą anonimowości i kradzieżą danych w sieciach publicznych.