W materiałach Apple czytamy:

Artykuł iPhone jak sprawdzić kondycje baterii i ilość cykli ładowania. Co to oznacza? pochodzi z serwisu TestHub.pl.

W tym poradniku pokaże Wam moim zdaniem najprostszą z metod na przenoszenie plików pomiędzy różnymi systemami, niewymagającą specjalnych aplikacji. Jedyne, co jest wymagane, to połączenie komputerów do tej samej sieci LAN. Zacznijmy więc od udostępniania z Windowsa.

Udostępnianie plików z Windowsa dla macOS-a

1. Udostępnianie folderu w Windowsie

Wybieramy folder lub dysk, który chcemy udostępnić. W moim przypadku folder nosi poczciwą nazwę Server plików. Przyciskamy prawy przyciski, aby przejść do Właściwości,następnie wybieramy zakładkę udostępnianie i klikamy w Udostępnianie zaawansowane. Kolejno wystarczy tylko kliknąć Udostępnij ten folder jak na poniższym screenshocie.

2. Połączenie z udostępnionym folderem Windowsa w macOS-ie

2a. Połącz z serwerem

Gdy już folder został udostępniony w systemie Windows, nie pozostaje nam nic innego jak przejść do systemu macOS. Upewnijcie się, że jesteście podłączeni do tej samej sieci. Przechodzimy do okna Findera. Klikamy CMD+K (lub w zakładce Idź wybieramy Połącz z serwem… jak na poniższym screenie).

2b. Nazwa komputera lub adres IP

W oknie dialogowym wpisujemy smb://nazwa_lub_adresIP_komputera. W moim przypadku jest to Windows10x64. Klikamy połącz i w oknie logowania wpisujemy dane logowania do swojego komputera z systemem Windows.

2c. Dokładna nazwa użytkownika Windows

Przy wpisywaniu danych logowania zwróćcie uwagę na nazwę użytkownika. System macOS domyślnie będzie Wam podpowiadał nazwę użytkownika w macOS-ie, a nie Windowsie. Dlatego w tym miejscu musicie wpisać dokładną nazwę użytkownika w systemie Windows.

2d. Dostęp do plików

Gotowe. Teraz jako że zalogowaliście się do swojego konta w systemie Windows, oprócz udostępnionego folderu będziecie mieć dostęp do swojego katalogu użytkownika. Możecie go wykorzystać do udostępniania plików. Ja stworzyłem osobny folder, który dostępny jest na innym dysku niż folder użytkownika. W tym przypadku nieważne, co wybierzecie, ponieważ dostęp macie i tak do wszystkiego.

2e. Zamontowany również katalog użytkownika

Oba z wyświetlonych folderów macie dostępne w Finderze do momentu pozostania połączonym.

Możliwe problemy

Problem z logowaniem do Windowsa w MacOS-ie

W przypadku gdy zamiast hasła w systemie Windows macie ustawiony PIN, nadal wpisujecie hasło, jeśli konto systemowe jest kontem Microsoftu. Waszym hasłem będzie hasło do konta Microsoftu. Jeśli korzystacie z konta offline bez hasła, zostawiacie puste pole z poprawną nazwą użytkownika systemu.

Gdzie znajdę nazwę komputera lub jego adres IP?

Nazwę komputera i jego adres IP znajdziecie we Właściwościach systemu oraz właściwościach sieci. Możecie również w konsoli systemowej wpisać ipconfig /all, a tam również znajdziecie te parametry jak na poniższym screenie.

MacOS nie widzi komputera z systemem Windows

W pierwszej kolejności sprawdźcie, czy wpisywana nazwa komputera lub adres IP są poprawne. Dodatkowo zweryfikujcie, czy zapora sieciowa nie blokuje połączenia. Sprawdzałem to na zaporze sieciowej systemowej, wbudowanej w oprogramowanie ESET Internet Security, jak i ZoneAlarm. W tych przypadkach nie pojawił się problem. Tylko ESET z racji jego konfiguracji wyświetlił okno dialogowe z pytaniem, czy zgadzam się na połączenie.

Udostępnianie plików z macOS-a dla Windowsa

Tutaj sprawa jest jeszcze prostsza, bo wymaga od nas przeklikania odpowiednich opcji w macOS-ie, by komputer z systemem Windows zobaczył Waszego maca w sieci.

1. Udostępnianie folderu w macOS

Przechodzimy do preferencji systemowych, a następnie klikamy w ikonę Udostępnianie. W lewym panelu klikamy i zaznaczamy udostępnianie plików ¹. Teraz klikamy ikonę + ², wybieramy folder, który chcemy udostępnić, i konfigurujemy użytkowników.

Tak, wystarczy zalogować się na konto macOS-a

Jak się pewnie domyślacie, patrząc na użytkowników, jeśli będziecie logować się na Wasze konto w macOS-ie, automatycznie dostaniecie dostęp do wszystkich dysków i plików. Dlatego tak naprawdę wystarczy uruchomić udostępnianie plików i zalogować się na konto macOS-a, żeby mieć dostęp do wszystkiego, do czego macie w dostęp w macu.

2. Połączenie z udostępnionym folderem na macOS-ie w Windowsie

Teraz nie pozostało nam nic innego, jak przejść do systemu Windows. Ważne, abyście w systemie zaznaczyli odpowiednią opcję.

2a. Odnajdowanie komputerów w sieci.

By komputer z systemem Windows wyszukał Waszego maca, musicie zaznaczyć opcję Włącz odnajdywanie komputerów w sieci.

2b. Logowanie do MacOS

Po uruchomieniu tej opcji przechodzimy do Sieci dostępnej w oknie nawigacji eksploatatora systemu. Czekamy, aż Windows odnajdzie Waszego maca i w zależności od konfiguracji użytkowników logujemy się na konto w macOS-ie. Jeśli zaznaczyliście, że dostęp ma każdy, zostanie wyświetlony udostępniony folder po kliknięciu. Gotowe!

Ile pomysłów, tyle metod

Nie jest to jedyna słuszna metoda, dzięki której możecie przerzucać (lub udostępniać) pliki w ramach różnych systemów, ale w mojej opinii najprostsza. Nie wymaga od użytkownika specjalnej znajomości konfiguracji systemu ani dodatkowego oprogramowania czy sprzętu. Jej główną zaletą jest to, że jeśli w obu przypadkach korzystacie z szybkich dysków SSD, pliki będą przerzucane z maksymalną prędkością Waszych dysków i kart sieciowych (o ile router nie ma słabej prędkości transmisji). Warto też zauważyć, że jeśli jeden z komputerów macie zawsze włączony, możecie wykorzystać go jako stały serwer plików, co praktykuje w ramach komputera z systemem Windows. Stąd też taka nazwa folderu – Serwer plików.

Obrazek tytułowy: stworzony przez autora tekstu, loga są własnością marki Microsoft i Apple. / Screenshoty: autora poradnika.

Artykuł Udostępnianie plików z Windowsa 10 na MacOS-a (i z MacOS-a na Windowsa) w sieci lokalnej pochodzi z serwisu TestHub.pl.

Adres MAC

Jeśli przeczytaliście wspominaną trzecią cześć poradnika bezpiecznej sieci Wi-Fi. Wiecie już, że adres MAC to unikalny identyfikator karty sieciowej. Tym poradnikiem pokaże Wam, że pomimo tego iż nazywany jest unikalnym, jego zmiana wcale nie jest taka trudna. Dodatkowo warto wspomnieć, że większość kart sieciowych obecnie dostępnych na rynku pozwala na tę zmianę. Jeszcze 4-5 lat temu wiele, zwłaszcza tańszych kart sieciowych nie miało takiej opcji.

Windows – Zmiana adresu MAC

Tutaj posłużymy się systemem Windows 10. W ten sam sposób robiłem to także pod Windows 7. Procedura jest dosyć prosta bo wymaga od nas tylko przeklikania do odpowiedniej opcji. Znajduje się ona w ustawieniach karty sieciowej.

1. Gdzie znajdę karty sieciowe?

Karty sieciowe znajdziesz w kategorii Centrum sieci i udostępniania – Panelu sterowania lub wpisując w wyszukiwarce paska startowego Centrum sieci i udostępniania. Następnie musisz kliknąć w opcje Zmień ustawiania karty sieciowej które znajdują się po lewej stronie okna eksploratora systemu Windows (screenshot poniżej).

2. Wybranie odpowiedniej karty sieciowej

Na wybranej karcie sieciowej w której chcemy dokonać zmiany, przyciskamy prawym przyciskiem myszy i wybieramy właściwości.

3. Konfiguruj 

W ustawieniach karty sieciowej przyciskamy opcję konfiguruj.

4. Zmiana adresu MAC karty sieciowej

W zakładce zaawansowane szukamy pozycji Network Address lub Local Administered Address i wpisujemy żądany adres MAC. Ważne, aby wpisać go bez znaków specjalnych i w systemie szesnastkowym. Po zmianie może się okazać, że komputer ma problem z połączeniem z siecią, warto dlatego też się prze-logować lub uruchomić go ponownie.

Nazwa opcji może być różna

Pozycja do zmiany adresu MAC w zależności od posiadanej karty sieciowej może mieć różną nazwę.  W powyższym przypadku karty sieciowej Intel jest to Local Administered Address. W poniższym jest to Network Address dla zintegrowanej karty sieciowej Realtek.

Jak zweryfikować zmianę adresu MAC?

Najprościej przy pomocy CMD. Po zmianie uruchamiamy CMD i wpisujemy ipconfig /all . W linii Physical Adress zauważmy wpisany wcześniej adres mac. W moim przypadku jest to 00-00-00-00-00-12. Taki wpisałem na powyższym screenie w mojej karcie sieciowej Intel.

MacOS – Zmiana adresu MAC

Tutaj sprawa jest dosyć prosta. Wszystko co należy wykonać to skorzystać z odpowiednich komend terminala.

1. Uruchamiamy terminal

Najprościej przycisnąć CMD + Spacja i wpisać Terminal.

2. Uzyskujemy uprawienia administratora

Wpisujemy w terminalu sudo su po czym wpisujemy hasło i zatwierdzamy klikając enter. (uwaga – nie widzimy wpisywanego hasła)

3. Zmiana adresu MAC

W terminalu wpisujemy komendę ifconfig en0 ether i adres jaki chcemy uzyskać, w moim przypadku będzie to 00:00:00:00:00:01, więc wpisuję: ifconfig en0 ether 00:00:00:00:00:01 . Po zmianie, tak jak w przypadku systemu Windows może pojawić się problem z połączeniem, więc warto się przelogować lub uruchomić ponownie system.

4. Weryfikacja

Po wykonanej zmianie możemy sprawdzić czy operacja się udała. Wpisujemy w terminal komendę ifconfig en0 i w pierwszej linii znajdziemy napis ether. Jeśli chcemy wyświetlić tylko adres MAC jak na poniższym screenie wystarczy wpisać ifconfig en0 | grep ether .

Mała uwaga

Jeśli w Macu posiadasz więcej niż jedną kartę sieciową, czy też korzystasz z innej niż zintegrowanej może się okazać, że jej interfejs sieciowy będzie określany inną liczbą. Na przykład en1 lub en2. Aby to sprawdzić wystarczy, że w terminalu wpiszesz ifconfig . Wyświetlą Ci się wtedy wszystkie Twoje karty sieciowej oraz wszystkie ich parametry.

Linux – Zmiana adresu MAC

Tutaj zmiana w większości dystrybucji wygląda bardzo podobnie jak w przypadku macOS. Różni się delikatnie komendą terminala, lecz sama procedura wygląda bardzo podobnie.

1. Uruchamiamy terminal

W zależności od dystrybucji znajdziesz go w docku lub w wyszukiwarce systemowej.

2. Uzyskujemy uprawienia administratora.

Ta procedura wygląda identycznie jak w macOS. Wpisujemy w terminalu sudo su po czym wpisujemy hasło i zatwierdzamy klikając enter. (uwaga – tu również nie widzimy wpisywanego hasła)

3. Zmiana adresu MAC

W terminalu wpisujemy komendę ifconfig eth0 hw ether i adres jaki chcemy uzyskać, w moim przypadku będzie to 00:00:00:00:00:30, więc wpisuje: ifconfig eth0 hw ether 00:00:00:00:00:30 . Jak w macOS i Windows, tak i tu po zmianie warto wykonać restart komputera.

4. Jak sprawdzić czy zmiana się udała?

Dokładnie w ten sam sposób jak w macOS. Czyli ifconfig eth0 | grep ether. Tak też zrobiłem na powyższym screenshocie.

A co z Androidem, iOS czy telewizorem?

Możliwa jest zmiana adresu MAC również na innych urządzeniach. Jak to się ma w przypadku urządzeń typu telewizor lub konsola – nie wiem. Natomiast wiem jak to wygląda w systemie z robocikiem. Nie mam niestety obecnie możliwości aby to zobrazować więc tylko wspomnę, że jest to sprawa dosyć prosta. Chodź jest pewien warunek. Aby to zrobić trzeba posiadać uprawienia root’a. Czyli urządzenie musi być po „zrotowaniu”. Następnie wystarczy pobrać aplikacje Change My MAC, wpisać żądany adres i gotowe. Co do systemu mobilnego od Apple osobiście nigdy nie próbowałem zmieniać adresu MAC w iPhone. Czytałem kiedyś, że jest to możliwe po zrobieniu jailbreak w MTerminal’u. Wtedy już procedura ma być taka sama jak w przypadku macOS. Ale nie testowałem tej opcji, więc nie potwierdzam i tym bardziej nie zalecam.

Podsumowując

Trzeba mieć na uwadze to, że nie w każdej karcie sieciowej możecie mieć możliwość zmiany adresu MAC. Najczęściej spotykałem tanie karty sieciowe na USB bez tej funkcjonalności. Adres MAC można również zmienić przy pomocy różnego oprogramowania. Ja pokazałem Wam jak dokonać zmiany MAC bez żadnych programów, czyli przy pomocy samego systemu. Dajcie nam informacje w komentarzu jakie jeszcze poradniki chcieliście zobaczyć w portalu TestHub

Obrazek tytułowy: pexels.com  | screenshoty: autora 

Artykuł Zmiana adresu MAC karty sieciowej w Windows, macOS i Linux pochodzi z serwisu TestHub.pl.

Niestety najczęściej nie sprawdzą się w zastosowaniach domowych. Artykuł prawdopodobnie może nie zostać w pełni zrozumiały dla każdego chodź postaram się aby tak było. Zapraszam tym samym do trzeciej części poradnika o bezpiecznej sieci Wi-Fi.

AP Isolation

Po uruchomieniu tej funkcji żadne z urządzeń podłączonych do tej samej sieci Wi-Fi nie będą się wzajemnie widziały. Funkcje warto zastosować głównie w momencie, gdy będziemy chcieli stworzyć publiczny hotspot lub sieć dla gości. W domu ta funkcja ma swoje zastosowanie tylko w momencie, kiedy nie łączycie się z innym urządzeniem w sieci Wi-Fi. Pewnie większość osób powie – nie. Pamiętajcie, że dotyczy to również urządzeń typu drukarka czy konsola. Czyli jeśli macie PS4 podłączone przez Wi-Fi i chcecie zagrać w jedną z gier serii Playstation Link to również urządzenia nie będą się wzajemnie widziały, przez co nie pogracie.

Filtrowanie adresów MAC

Adres MAC to nic innego, jak unikalny identyfikator karty sieciowej waszego urządzenia. Dzięki niemu możemy identyfikować każde z urządzeń podłączonych do sieci. Dlatego też lata temu producenci sprzętu komputerowego wpadli na pomysł, aby przy pomocy filtrowania adresów pozwalać (lub blokować) konkretne urządzenie w sieci. Po uruchomieniu tej funkcji do sieci będą mogły podłączyć się tylko te urządzenia, które ręcznie zostały wpisane na listę. Dzięki czemu, jak się pewnie domyślacie, nawet, gdy ktoś będzie znał hasło do Waszej sieci Wi-Fi nie połączy się z nią. Router automatycznie rozłączy urządzenie, którego brak na liście lub znajduje się na czarnej liście.

Nie sugeruj się tym screenshotem

Sugerując się tylko tym screenshotem możecie nie znaleźć tej funkcji. Zarówno w routerach TP-Link, jak i Linksys, Cisco czy nawet Xiaomi tę funkcję obsługuje się nieco inaczej i wygląda inaczej. W przypadku tego routera można to zrobić jak na screenie. Czyli ustawiając statyczne adresy IP w serwerze DHCP i uruchamiając „Kontrole dostępu” zaznaczyć „Białą listę” i wtedy połączą się z siecią tylko te urządzenia, które znajdują się na tej liście. Można również zaznaczyć czarną listę, wtedy wszystkie urządzenia będą dopuszczane oprócz tych wpisanych na czarną listę. Tak jest w przypadku tego routera. W Twoim routerze może być to zupełnie inne. Jak i nie będzie się nazywać „Access Control” a np. jak w jednym z znanych mi routerów Cisco – „Wireless Mac Filter”.

Wysokie podnoszenie bezpieczeństwa – czy na pewno?

Rozwiązanie w mojej opinii w pewnym stopniu wysoce podnosi bezpieczeństwo, lecz bywa uciążliwie. Przed podłączeniem nowego urządzenia do sieci będziecie musieli ręcznie wpisać adres MAC tego urządzenia. Tak nawet drukarki, konsoli czy wieży. Dlatego to rozwiązanie często stosuje się w firmach, aby pracownicy mogli podłączać do sieci służbowy komputer, lecz nie prywatny smartphone. Oczywiście można stosować to rozwiązanie również w domu. Uciążliwe i tylko dla osób, które są nieco bardziej zaawansowane. W warunkach domowych uważam to w większości przypadków za zbędne rozwiązanie.

W pewnym stopniu

Dlaczego w pewnym stopniu? Bo jak wspomniałem przy okazji drugiej części poradnika. Nie ma rozwiązania, którego nie da się obejść. To że w routerach można klonować adres MAC nie jest chyba dla nikogo zaskakujące. W końcu wielu z dostawców sieci identyfikuje swoich klientów właśnie poprzez DHCP na podstawie adresu MAC podanego na umowie. Lecz adres MAC można również zmienić w urządzeniu.

Udowodnij!

W macOS potrzeba do miany adresu MAC kilka komend terminala. W systemach rodziny Windows jest jeszcze prościej, gdyż wystarczy w ustawieniach karty sieciowej znaleźć odpowiedni parametr.

Domyślacie się pewnie, że w tym miejscu należy wpisać w systemie szesnastkowym dowolnie wymyślony adres MAC. Wpisujemy go bez znaku myślnika (-). Zatwierdzamy zmianę i gotowe. Temu tematowi poświeciłem osobny poradnik, który pojawi się niebawem.

Czyli co mogłoby się wydarzyć?

Jeśli uruchomilibyście funkcje filtrowanie adresów MAC. Dopisalibyście do dopuszczonych urządzeń adresy MAC swoich urządzeń. To jest możliwa następująca metoda ataku. Ktoś mógłby zacząć „podsłuchiwać” Waszą sieć np. przy pomocy programu Wireshark i mógłby zdobyć adres MAC komputera, który łączy się się z siecią. Następnie wystarczyłoby, że taki adres MAC ustawiłby w swoim urządzeniu, aby również móc się połączyć z Waszą siecią. Uprzedzam – wiem, że jest to nieco naciągana metoda ataku, jednak możliwa. Najpierw musimy zdobyć adres MAC urządzenia i mieć pewność, że jest ono dopisane do serwera DHCP. Posiadać lub podsłuchać hasło do sieci Wi-Fi. Trzeba odpowiednią ilość czasu poświęcić na podsłuchiwanie takiej sieci. Wiem, lecz chciałem tylko zwrócić uwagę że nie ma rozwiązań idealnych i nawet tę funkcję można obejść na swój skomplikowany sposób.

Bezpieczna sieć Wi-Fi – To wszystko?

Obie z przedstawionych funkcji prawdopodobnie nie będą przydatne Wam w domu. AP Isolation ze względu na to iż urządzenia nie będą się widziały. Filtrowanie adresów MAC przez swoją uciążliwość. W mojej opinii funkcje te sprawdzą się głównie w zastosowaniach firmowych, lecz nie wykluczam tego, że ktoś z Was z nich nie skorzysta. Wiem, że nie opisałem w ramach tego poradnika wielu innych funkcji, jak chociażby kontrola rodzicielska czy QoS. Jednak celem tego poradnika było trafienie do jak największej grupy zainteresowanych maksymalnie prostym językiem i funkcjami. Wydaje mi się że to nie było możliwe. Mam nadzieję, że chodź część z czytelników nauczyła się czegoś lub została zainteresowana tematem bezpieczeństwa sieci. Jak wspominałem w każdej części tak wspomnę i tu. W mojej opinii jeśli nie podajecie każdemu hasła. Od czasu – do czasu kontrolujecie kto łączy się z Waszą siecią Wi-Fi i macie mocne oraz unikalne hasło – nie ma większych powodów do obaw. Czekamy na Wasze komentarze, jakie jeszcze poradniki chcielibyście, aby znalazły się w TestHub.

obrazek tytułowy: pexels.com | screenshot: autora wpisu

Artykuł Bezpieczna sieć Wi-Fi: AP Isolation i filtrowanie adresów MAC (część 3/3) pochodzi z serwisu TestHub.pl.

Ukrycie SSID: niewidoczna sieć Wi-Fi

Ukrywanie SSID to funkcja, która nic nie wnosi do bezpieczeństwa. Powiedziałbym więcej: wprawna osoba szperająca w internecie znajdzie kompleksowy poradnik, jak taką sieć zobaczyć w warunkach firmowych lub domowych. Poza zbędnym narzekaniem reszty domowników lub pracowników firmy, że źle wpisują nazwę sieci i się nie łączy, nic ta funkcja nie wnosi bezpośrednio do bezpieczeństwa sieci.

Nie zrozumcie też mnie źle – nie twierdzę, że to zbędna funkcja. Uważam jednak, że jest przydatna tylko wtedy, gdy z jakiegoś powodu nie chcemy, aby konkretna sieć rzucała się w oczy. W jednej z firm, w której pracowałem, stosowano to rozwiązanie. Sieć Wi-Fi dla wszystkich pracowników była widoczna, a sieć typowo dla pewnej grupy pracowników była celowo ukryta. Według mnie ukrywanie do bezpieczeństwa nic nie wnosi prócz tego, że na pierwszy rzut oka sieć nie będzie widoczna dla wszystkich.

Przycisk WPS

W warunkach domowych to bardzo umilająca podłączanie się do sieci funkcja. Przy pomocy jednego kliknięcia lub podania wygenerowanego PIN-u łączymy się z siecią. Spotkałem się z opiniami, że WPS nie jest dobrze zabezpieczony przed atakami słownikowymi, czyli atakiem typu brutal force. Pewnie biorąc pod uwagę PIN składający się z samych cyfr, można się z tym zgodzić. W zastosowaniach firmowych ta funkcja jest zwykle wyłączana, traktowana jako luka bezpieczeństwa sieci. W zastosowaniach domowych podchodzę do tego tak: jeśli macie taką potrzebę, zostawcie włączoną. Osobiście nie korzystam z tego przycisku, ponieważ router stoi w łatwo dostępnym miejscu, a nie chciałbym, żeby ktoś prostym trikiem połączył się z moją siecią bez mojej zgody.

Firewall i SPI Firewall

Zapora sieciowa w routerze głównie odpowiada za obronę przed atakami DDoS. Sam atak DDoS to nic innego jak wykorzystanie w 100% zasobów danej sieci / serwera do tego, aby go unieruchomić. Takie ataki raczej nie zdarzą się na użytkowników domowych, stąd domyślnie funkcja pozostaje wyłączona.

SPI Firewall to coś nieco innego. Tłumacząc pokrótce, skanuje nagłówki pakietów przechodzących przez router. Weryfikuje w ten sposób, czy dane połączenie powinno zostać dopuszczone czy odrzucone. Domyślnie funkcja jest uruchomiona i warto zadbać, aby tak pozostało. Jeśli chcecie poznać więcej szczegółów dotyczących zapory, odsyłam do świetnego artykułu Krzyśka.

Czy sieć Wi-Fi może być w 100% bezpieczna?

Wszystko leży tak naprawdę w naszych rękach. Nie ma w mojej opinii osoby i produktu, którego nie da się przechytrzyć. Czy to odpowiednimi sztuczkami technicznymi, czy też socjotechniką. Jak wspominałem przy okazji pierwszej części poradnika, grunt to nie popadać w paranoję. Jeżeli jesteśmy zwykłym Kowalskim, mało prawdopodobne, że ktoś będzie miał powód, żeby włamać się do naszej sieci Wi-Fi. W 99% prędzej możena spodziewać się innych metod oszustwa, np. phishingu. Jeżeli chcecie więcej informacji dotyczących okradania przez internet, zapraszam do obejrzenia filmu Szafy.

Bezpieczna sieć Wi-Fi

Część 1. Bezpieczna sieć Wi-Fi: podstawy

Cześć 3. 42657a706965637a6e61207369651072057692d46693a2041502049736f6c6174696f6e2c20426c61636b6c69737420692066696c74726f77616e6965206164726573f377204d4143

Jaka jest nazwa części trzeciej? Czekamy na wasze komentarze.

grafika tytułowa: unsplash.com

Artykuł Bezpieczna sieć Wi-Fi: ukryte SSID, przycisk WPS i Firewall (część 2/3). pochodzi z serwisu TestHub.pl.

Poradnik nie będzie wysoce specjalistyczny. Chcę całość przedstawić w możliwe prostej formie dostępnej dla każdego. Zacznijmy najpierw od kwestii pewnie dla wielu nudnych, lecz zupełnie podstawowych.

Hasło do sieci Wi-Fi

Najbardziej podstawowa kwestia zabezpieczenia sieci Wi-Fi przed intruzami. Nawet nie biorę pod uwagę tego, że ktoś może mieć sieć Wi-Fi otwartą, bez hasła. Ustawione hasła do sieci bezprzewodowej są najczęściej słabe, składają się z prostych słów łatwych do zgadnięcia lub złamania jak vwpassat, kowalski lub po prostu imieniem, np. typowyseba. Oczywiście w warunkach domowych, gdzie nie jesteśmy osobami publicznymi, można stwierdzić, że nie ma czego się obawiać. Bo w jakim celu ktoś miałby łamać hasło do sieci dziadków, którzy z internetu korzystają tylko w ramach smart TV? Oczywiście można zakładać, że w ramach oszczędności – bo ktoś się nie zna i nie zorientuje się, że syn sąsiadów korzysta za darmo z internetu. Dlatego osobiście uważam, że dobre hasło to rzecz podstawowa. Istotnie, warto również wybrać protokół szyfrowania hasła sieci na najwyższy z możliwych, czyli WPA2 + AES. Jeśli dysponujemy dwiema częstotliwościami (2,4 GHz i 5 GHz), ustawiamy szyfrowanie w obu sieciach.

Login: admin, hasło: admin

To najbardziej podstawowe i występujące w większości routerów dane logowania do panelu administratora w routerze. Warto ustawić stosunkowo silne hasło, aby nikt, kto zaloguje się do naszej sieci (nawet za pozwoleniem), nie mógł dostać się do panelu administratora. Dostęp do panelu pozwala np. zablokować dane urządzenie w sieci (ten wątek poruszymy w kolejnych częściach tekstu), a nawet ustawić, żeby logi z naszego routera przychodziły pod wskazane miejsce, jak na poniższym screenie.

Dobre hasło – jakie to?

Pisałem już o tym przy okazji artykułu Dlaczego warto korzystać z menadżera haseł. Dodam do tego tylko tyle, że nie neguje haseł związanych z czymś, co łatwo nam zapamiętać. Lecz ustawiając coś prostego, łatwego do zapamiętania: ulubiony klub sportowy, samochód czy dane personalne, np. jankowalski. Warto wykazać się dozą pomysłowości i ustawić to za pomocą znaków specjalnych i cyfr: vwP@$at19Td! lub j@nN_Kovv@I$Ki – nie bez znaczenia jest tu wielkość liter i znaki specjalne. Takie hasło bardzo łatwo zapamiętać, nieco trudniej zgadnąć, a jeszcze trudniej złamać. Warto też stosować unikalne hasła; po więcej odsyłam do wspomnianego artykułu.

Zdalne zarządzanie routerem

Osobiście jeszcze nie spotkałem się z tym, by ta funkcja była domyślenie uruchomiona. Warto wiedzieć, że po jej uruchomieniu wystarczy wpisać nasz adres IP zgodnie z portem wyznaczonym przez router w oknie przeglądarki, aby mieć zdalnie dostęp do panelu logowania w routerze. Jestem zdania, że jeśli nie mamy żadnego konkretnego celu i potrzeb zarządzania nim zdalnie, nie należy udostępniać routera „na świat”.

Wydzielona sieć dla gości

Jeśli często odwiedzają nas goście, a nie mamy żadnych potrzeb ku temu, by dać im dostęp do swojej głównej sieci i jej zasobów, można stworzyć osobą sieć. W większości dzisiejszych routerów jest opcja dedykowanej sieci Wi-Fi dla gości, dzięki czemu w zależności od naszego routera możemy ograniczyć zarówno zasoby naszej sieci, żeby nie zużywali pełnej przepustowości jak, i odizolować ich od wszystkich naszych urządzeń podłączonych do głównej sieci Wi-Fi.

Aktualizacja oprogramowania routera

Dla osób nieco bardziej obeznanych w technologii punkt ten może być idiotyczny. Niemnie jednak uważam, że nie można go pomijać. Trzeba sprawdzić tuż po zakupie lub też po dłuższym użytkowaniu, czy nie pojawia się aktualizacja oprogramowania. Nawet taka, która nie wprowadza nic typowo do bezpieczeństwa naszej sieci, może uzupełnić router o dodatkowe funkcje. Przykładowo możemy otrzymać wsparcie dla dedykowanej aplikacji producenta na urządzenia mobilne czy zostanie poprawiona stabilność sieci.

Nie popadajmy w paranoję

Grunt to dostosować poziom zabezpieczeń do swoich potrzeb. Dlatego moim zdaniem to najbardziej podstawowe kwestie bezpieczeństwa, jakie powinniśmy zastosować w domowej sieci Wi-Fi. W kolejnej części opowiem o tym, czy warto ukrywać SSID (czyli widoczność naszej sieci Wi-Fi), o wbudowanym w routerze firewallu oraz o przycisku WPS domyślnie ustawionym na większości routerów.

Bezpieczna sieć Wi-Fi

Część 2, czyli 637a796c6920756b7279746520535349442c2070727a796369736b205750532069204669726577616c6c2028637a11915b10720322f3329

Cześć 3, czyli 5A6761646E696A203A44206E6965206D612074616B206C6174776F203A4420

Kto zgadnie dokładny tytuł kolejnych artykułów?

Artykuł Bezpieczna sieć Wi-Fi: podstawy (część 1/3) pochodzi z serwisu TestHub.pl.

Najpierw trzęsienie ziemi

Tak, wiem, że to zagadnienie brzmi co najmniej jak wiedza tajemna. I pewnie jak Wam pokażę przykład, jak diagram przepływu pakietów wygląda u jednego z konkurentów Ubiquiti, to wydacie cichsze albo i głośniejsze jęknięcie. Nie dziwi mnie to, bo tym diagramem można by straszyć młodych (niektórych starszych też) administratorów sieci:

Ale spokojnie, to nie film Alfreda Hitchcocka. Na szczęście tak dla Was, jak i dla mnie, bo pewnie nigdy w życiu nie udałoby mi się przekazać istotnej wiedzy w oparciu o taki rysunek. Ubiquiti przygotowało znacznie przyjaźniejsze schematy.

Ruch przychodzący interfejsem WAN

Przypadek pierwszy, czyli przepływ pakietów, które przychodzą interfejsem WAN. Jak widać, pierwszą kluczową operacją jest DNAT (Destination NAT), czyli translacja adresów docelowych. Dopiero po niej podejmowana jest decyzja o routingu.

Dalsze przetwarzanie pakietów zależy od miejsca docelowego: czy jest to ruch przechodzący przez router i mający opuścić go interfejsem LAN (lewa gałąź schematu), czy ruch lokalny kierowany do routera (prawa gałąź schematu). W zależności od tego aplikowane są reguły firewall’a – odpowiednio IN lub LOCAL:

Ruch przychodzący interfejsem LAN

Schemat dla ruchu przychodzącego interfejsem LAN jest lustrzanym odbiciem poprzednika.

Pozwolę sobie zwrócić uwagę na jeden aspekt, który może rodzić kłopoty. Otóż reguła OUT firewalla aplikowana jest przed realizacją SNAT (Source NAT), czyli translacją adresów źródłowych. Czemu to istotne? Rozważmy takie zagadnienie: zgodnie z dobrą praktyką chcemy profilaktycznie zaaplikować regułę, która zapobiegłaby wyjściu na świat pakietów z adresacją prywatną zdefiniowaną w RFC1918. Czyli ochoczo sporządzamy trzy wpisy, które wycinają ruch z adresami źródłowymi 10.0.0.0/8, 172.16.0.0/12 oraz 192.168.0.0/16 i aplikujemy na interfejsie WAN w kierunku OUT, po czym… zaraz, a gdzie wcięło internet? Z internetem wszystko jest okej. Tu jest właśnie ten haczyk – FW jest realizowany przed „maskaradą”.

Po krzyku

Czy było tak strasznie, jak się zapowiadało? Mam nadzieję, że nie. I jak zawsze zachęcam do dyskusji, zadawania pytań oraz zapisania się do grupy Ubiquiti Polska na FB.

Artykuł EdgeOS – kolejność przetwarzania pakietów pochodzi z serwisu TestHub.pl.

Wirtualizowany?

W ekspresowym skrócie. Wirtualizowany system to taki, który uruchamiany jest już w istniejącym systemie. Pozwala na to oprogramowanie takie jak darmowy VirtualBox lub płatny Parallels. Oprogramowanie symuluje w istniejącym już systemie parametry komputera (ustalone w konfiguracji aplikacji) do uruchomienia kolejnego systemu. Plusem jest możliwość używania wielu systemów jednocześnie i odizolowanie wirtualnego systemu od Waszego systemu. Przydatne wtedy, gdy chcecie „coś” sprawdzić, a nie chcecie, aby to uszkodziło np. poprzez szyfrowanie spójności Waszego głównego systemu. Minusem są ograniczenia zasobów fizycznych, co wiąże się często z niestabilnym działaniem bardziej wymagających aplikacji.

Natywny (niewirtualizowany?)

System natywny to system zainstalowany po prostu na komputerze, wykorzystujący w 100% jego zasoby fizyczne. Dlaczego to takie ważne? Ponieważ są nie tylko gry, ale i aplikacje, które nie wspierają Maca. Ich działanie w maszynie wirtualnej pozostawia wiele do życzenia (np. Microsoft Access lub enova365). Stąd dla mnie istotne jest posiadanie jednocześnie również natywnego Windowsa. Zwłaszcza w momentach, gdy jestem daleko od mojego komputera stacjonarnego, a macbooka mam ze sobą.

Boot Camp

Z pomocą przychodzi samo Apple, a konkretnie Boot Camp, czyli dedykowane narzędzie wbudowane w system MacOS. Tworzy przeznaczoną przez nas ilość miejsca na dysku na potrzeby Windowsa, abyśmy mogli go w pełni używać, wykorzystując w 100% zasoby komputera. Zaczynajmy.

Boot Camp, czyli Windows 10 na Macu

Redakcja TestHub.pl i autor poradnika nie ponoszą odpowiedzialności za ewentualne szkody powstałe podczas instalacji. Robisz to na własną odpowiedzialność!

Co jest niezbędne do instalacji?

• Obraz ISO systemu Windows 10 – dostępny na oficjalnej stronie Microsoftu.
• Pendrive (tylko dla maców poniżej 2015 roku, wyjaśnione w poradniku).
• Minimalnie 40 GB przestrzeni na system Windows.
• Trochę wolnego czasu i chęci.

Instalacja

1. Asystent Boot Camp

Znajdujemy i uruchamiamy program Asysten Boot Camp, np. w Spotlight (CMD + spacja).

2. Wstęp

Zapoznajemy się ze wstępem. Wybieramy nasz obraz ISO systemu Windows 10 i przechodzimy do głównego zadania: podziału na partycje. Dla systemu Windows przeznaczamy ilość GB według uznania. Minimum to 40 GB. Potem asystent Boot Camp rozpocznie proces przygotowywania dysku oraz pobierze niezbędne oprogramowanie.

Mała uwaga

Jak podaje Apple, w przypadku systemu OS X El Capitan 10.11 lub nowszego poniższe modele wykorzystują dysk wewnętrzny do tymczasowego przechowania składników potrzebnych do instalacji systemu Windows. Dlatego pamięć flash USB nie jest potrzebna na:

• macbooku pro i air (2015 rok i nowsze modele),
• macbooku (2015 rok i nowsze modele),
• iMacu (2015 rok i nowsze modele),
• iMacu pro,
• macu pro (koniec 2013 rok).

Jeśli komputer jest starszy, to asystent Boot Camp poprosi o wpięcie dysku flash o wielkości minimum 8 GB. Będzie on niezbędny do przechowywania plików instalacji systemu Windows.

Boot Camp – rozpoczęty proces instalacji systemu

3. Instalacja Windowsa

Następnie po ponownym uruchomieniu komputera pojawi nam się zwykły instalator systemu Windows. Wybieramy partycje o nazwie BOOTCAMP. Formatujemy i przechodzimy dalej. Instalator Windows rozpocznie instalację.

4. Sterowniki i oprogramowanie Boot Camp dla Windowsa

Po zakończonej instalacji systemu Windows i przejściu przez domyśle ustawienia naszym oczom ukaże się oprogramowanie Boot Camp dla Windowsa. Instaluje ono niezbędne sterowniki systemowe do obsługi sieci Wi-Fi, gestów touchpada, skrótów klawiszowych odpowiedzialnych za rozjaśnianie klawiatury, pogłaśnianie czy sterowników Intela dla karty grafiki.

5. Restart

Po instalacji oprogramowania Boot Camp prawdopodobnie zmieni się Wam skalowanie lub nawet rozdzielczość. Bez obaw resetujemy komputer zgodnie z zaleceniami.

6. Skalowanie w Windows

System zainstalowany. Warto ustawić skalowanie według siebie. Osobiście lubię mieć dużo przestrzeni roboczej, więc w przypadku macbooka pro 13,3′ mid 2015 wybieram skalowanie 125%.

7. Szybkie przejście z Windows na MacOS

Od teraz w tak zwanym trayu wraz ze startem systemu Windows będzie uruchamiać się oprogramowanie Boot Camp. Oprócz wspominanego wcześniej wsparcia daje ono nam kilka dodatkowych opcji, jak szybkie przełączenie systemu na MacOS.

Gotowe

Od teraz wystarczy podczas uruchamiania Macbooka przytrzymać przycisk Opcji (alt), a naszym oczom ukaże się bootloader z opcją wyboru systemu. Oczywiście w preferencjach systemowych macOS w zakładce Dysk startowy możemy wybrać system, wraz z którym macbook ma zostać uruchomiony. (Wyłącza ktoś z Was Macboooka?)

screenshooty i obrazek wyróżniający: autora 

Artykuł Boot Camp, czyli Windows 10 na Macu pochodzi z serwisu TestHub.pl.

Ekspres do piwa

System kapsułkowy jest znany z ekspresów do kawy. LG przeniosło to rozwiązanie do piwowarstwa domowego. Warzenie ma się ograniczyć do naciśnięcia jednego przycisku. Zestaw jednorazowych kapsułek ma zawierać słód, drożdże, olej chmielowy i aromat – wystarczy wcisnąć przycisk a LG HomeBrew zajmie się całą procedurą od fermentacji, nagazowania i dojrzewania, po serwowanie i czyszczenie. Status HomeBrew można sprawdzić za pomocą bezpłatnej aplikacji (iOS i Android).

Prostota i jakość

HomeBrew ma zaoferować nie tylko bardzo prosty sposób wytwarzania piwa. LG zapewnia, że jakość wytwarzanego piwa w domowych warunkach ma się znacząco poprawić. Zoptymalizowany algorytm fermentacji ma kontrolować ten proces dzięki precyzyjnej kontroli temperatury i ciśnienia, gwarantując sukces w całym procesie produkcji piwa. Sprytny system kapsułek ma usunąć wszelkie problemy związane z czyszczeniem, które występują w tradycyjnej metodzie produkcji piwa domowego. Do dezynfekcji posłuży tylko gorąca woda, zapewniając czystość dla następnego piwa.

Klasyka i nowa fala

HomeBrew pozwoli na domową produkcję piwa w pięciu różnych stylach. Do klasyki można z pewnością zaliczyć nieśmiertelnego czeskiego Pilsa. Poza nim znajdzie się coś dla fanów belgijskich klimatów, bo jest tu miejsce dla Witbiera. Piwa ciemne reprezentować będzie Stout, a nową falę American Pale, ale i American IPA. Podczas jednego warzenia można wyprodukować do 5 l piwa, a cały proces produkcji ma zająć około 2 tygodni w zależności od gatunku piwa.

Co sądzicie o takim podejściu do warzenia piwa domowego? Taki ekspres do piwa zachęciłby Was do spróbowania sił w piwowarstwie domowym? Dajcie znać w komentarzach.

Źródło: 
www.lgnewsroom.com

Artykuł LG HomeBrew – ekspres do piwa pochodzi z serwisu TestHub.pl.

Miało być o interfejsach

W istocie rzeczy ten odcinek miał być o interfejsach VLAN i BRIDGE. I obiecuję, taki odcinek na pewno się pojawi, ale w trakcie pisania przypomniałem sobie, że Ubiquiti nie rekomenduje mostkowania interfejsów na części platform sprzętowych. Czy „nie rekomenduje” oznacza, że nie należy ich stosować? I czemu dotyczy to części, a nie wszystkich routerów z linii EdgeRouter? Tak dochodzimy do tematu dzisiejszego odcinka.

Hardware Offloading

Wysoka wydajność routerów EdgeRouter jest konsekwencją zastosowania mechanizmów Hardware Offloading. Pod tym trudnym hasłem kryją się mechanizmy sprzętowego realizowania wybranych funkcji, zamiast przetwarzania przez oprogramowanie na procesorze. Dzięki wyeliminowaniu CPU wydajność platformy nie jest zależna od jego obciążenia ani wydajności, osiągane są mniejsze opóźnienia i większa przepustowość. Przykładowo sprzętowe przetwarzanie pakietów IPv4 na EdgeRouter Lite (ERL) pozwala „przerzucić” 950 Mbps. Przy wyłączeniu mechanizmu offloading i programowym przetwarzaniu pakietów na CPU ta wydajność spada do około 300 Mbps. Niestety ponieważ Ubiquiti stosuje SoC od dwóch dostawców – MediaTek i Cavium – występują pewne różnice w dostępnych mechanizmach „odciążania” w zależności od producenta chipa w danym modelu routera.

MediaTek vs Cavium

Zatem które modele routerów oparto na SoC których producentów? Które mechanizmy realizowane są bezpośrednio przez hardware zamiast przez  software? I jak włączyć lub – jeśli zajdzie taka uzasadniona potrzeba – wyłączyć offloading? Na szczęście Ubiquiti przygotowało tabele, które w czytelny sposób dają odpowiedź na te pytania.

IPsec Offloading

Sprawa jeszcze się nieco komplikuje, gdy zagłębić się w szczegóły. Otóż silną stroną routerów EdgeRouter jest akceleracja sprzętowa IPseca, która daje wyraźny wzrost wydajności w przypadku budowy tuneli site-to-site czy zastosowaniach client-to-site. Rzecz w tym, że tu znowu zachodzą pewne drobne, acz istotne różnice między platformami, trzeba też świadomie dobierać algorytmy szyfrowania i funkcje haszujące (skrótu). Dla bardzo dociekliwych dodam, że offloading dotyczy ruchu ESP. Ruch IKE nie jest „odciążany”, ale ponieważ negocjacja kluczy zachodzi na etapie inicjowania tuneli i ewentualnie okresowo jest ponawiana, nie ma to znaczenia dla ogólnej wydajności VPN.

Włączamy/Wyłączamy

Niestety włączenie lub wyłączenia mechanizmów offloadingu też wygląda nieco inaczej w urządzeniach opartych na SoC od Cavium, od tych zbudowanych z użyciem SoC dostarczonego przez MediaTek.

MediaTek Devices: ER-X / ER-X-SFP / EP-R6:

Włączenie mechanizmów akceleracji sprzętowej hwnat i ipsec (pierwsza tabela):

configure

set system offload hwnat enable
set system offload ipsec enable

commit ; save

I wyłączenie:

configure

set system offload hwnat disable
set system offload ipsec disable

commit ; save

UWAGA: zmiany dotyczące IPseca wymagają restartu urządzenia. 

Cavium Devices: ER-4 / ER-6P / ERLite-3 / ERPoE-5 / ER-8 / ERPro-8 / EP-R8 / ER-8-XG:

Włączenie mechanizmów akceleracji sprzętowej IPv4/IPv6 i ipsec (pierwsza tabela):

configure

set system offload ipv4 forwarding enable
set system offload ipv4 gre enable
set system offload ipv4 pppoe enable
set system offload ipv4 vlan enable

set system offload ipv6 forwarding enable
set system offload ipv6 pppoe enable
set system offload ipv6 vlan enable

set system offload ipsec enable

commit ; save

I wyłączenie:

configure

set system offload ipv4 forwarding disable
set system offload ipv4 gre disable
set system offload ipv4 pppoe disable
set system offload ipv4 vlan disable

set system offload ipv6 forwarding disable
set system offload ipv6 pppoe disable
set system offload ipv6 vlan disable

set system offload ipsec disable

commit ; save

UWAGA: obecnie nie jest możliwe równoczesne włączenie wspomagania sprzętowego dla PPPoE oraz VLANów dla protokołu IPv6. Zmiany dotyczące IPseca wymagają restartu urządzenia. 

Czy to działa?

Działanie mechanizmów offloadingu można łatwo sprawdzić:

admin@CERBER:~$ show ubnt offload

IP offload module : loaded
IPv4
   forwarding: enabled
   vlan : enabled
   pppoe : disabled
   gre : disabled
   bonding : disabled
IPv6
   forwarding: enabled
   vlan : enabled
   pppoe : disabled
   bonding : disabled

IPSec offload module: loaded

Traffic Analysis :
   export : enabled
   dpi : enabled

Na zakończenie

Tym artykułem chciałbym zapoczątkować nową serię poświęconą Ubiquiti. Trochę bardziej zaawansowaną – dla użytkowników, których nie przeraża CLI i nie trzeba im wyjaśniać, jak połączyć się po SSH z użyciem PuTTYego. W razie pytań lub wątpliwości zapraszam do dyskusji na forum Ubiquiti Polska.

Artykuł Administratorze, znaj swój hardware pochodzi z serwisu TestHub.pl.