W momencie wprowadzenia technologii obiecywano wzrost bezpieczeństwa naszych sieci wifi, a co za tym idzie również naszych danych. Wpływać na to miały między innymi mechanizmy do blokowania ataków słownikowych, w celu pozyskania hasła przez hakera.

Nie jest jednak łatwe przełamać zabezpieczenia WPA 3, ponieważ wymaga to sporych starań ze strony atakującego. Brzmi mimo wszystko trochę strasznie, ale nie jest takie, jak się wydaje. Owszem, eksperci z New York Uniwersity i Tel Aviv University potwierdzili wadę, jednakże dotyczy ona niewielkiej puli urządzeń wyposażonych w nowy standard. Głównie są to sprzęty obdarzone wczesną jego implementacją. Producenci już szykują łatki bezpieczeństwa i stopniowo je udostępniają konsumentom.

Pamiętajmy, iż samo wyposażenie w technologie WPA 3 nie stanowi jedynego elementu zabezpieczającego nasze urządzenia sieciowe. Można również wykonać kilka czynności, które podwyższają bezpieczeństwo naszego obiegu danych za pośrednictwem bezprzewodowego połączenia z internetem. Zainteresowanych odsyłam do serii „Bezpieczna sieć Wi-Fi”, gdzie Sebastian w przejrzysty sposób pokazuje, co jeszcze warto zrobić dla poufności transmisji informacji na linii internet-klient.

I część: Bezpieczna sieć Wi-Fi: podstawy (część 1/3)

II część: Bezpieczna sieć Wi-Fi: ukryte SSID, przycisk WPS i Firewall (część 2/3)

III część: Bezpieczna sieć Wi-Fi: AP Isolation i filtrowanie adresów MAC (część 3/3)

Źródło: Techspot

Artykuł WPA 3, czyli miało być tak pięknie, a wyszło… pochodzi z serwisu TestHub.pl.

Niestety najczęściej nie sprawdzą się w zastosowaniach domowych. Artykuł prawdopodobnie może nie zostać w pełni zrozumiały dla każdego chodź postaram się aby tak było. Zapraszam tym samym do trzeciej części poradnika o bezpiecznej sieci Wi-Fi.

AP Isolation

Po uruchomieniu tej funkcji żadne z urządzeń podłączonych do tej samej sieci Wi-Fi nie będą się wzajemnie widziały. Funkcje warto zastosować głównie w momencie, gdy będziemy chcieli stworzyć publiczny hotspot lub sieć dla gości. W domu ta funkcja ma swoje zastosowanie tylko w momencie, kiedy nie łączycie się z innym urządzeniem w sieci Wi-Fi. Pewnie większość osób powie – nie. Pamiętajcie, że dotyczy to również urządzeń typu drukarka czy konsola. Czyli jeśli macie PS4 podłączone przez Wi-Fi i chcecie zagrać w jedną z gier serii Playstation Link to również urządzenia nie będą się wzajemnie widziały, przez co nie pogracie.

Filtrowanie adresów MAC

Adres MAC to nic innego, jak unikalny identyfikator karty sieciowej waszego urządzenia. Dzięki niemu możemy identyfikować każde z urządzeń podłączonych do sieci. Dlatego też lata temu producenci sprzętu komputerowego wpadli na pomysł, aby przy pomocy filtrowania adresów pozwalać (lub blokować) konkretne urządzenie w sieci. Po uruchomieniu tej funkcji do sieci będą mogły podłączyć się tylko te urządzenia, które ręcznie zostały wpisane na listę. Dzięki czemu, jak się pewnie domyślacie, nawet, gdy ktoś będzie znał hasło do Waszej sieci Wi-Fi nie połączy się z nią. Router automatycznie rozłączy urządzenie, którego brak na liście lub znajduje się na czarnej liście.

Nie sugeruj się tym screenshotem

Sugerując się tylko tym screenshotem możecie nie znaleźć tej funkcji. Zarówno w routerach TP-Link, jak i Linksys, Cisco czy nawet Xiaomi tę funkcję obsługuje się nieco inaczej i wygląda inaczej. W przypadku tego routera można to zrobić jak na screenie. Czyli ustawiając statyczne adresy IP w serwerze DHCP i uruchamiając „Kontrole dostępu” zaznaczyć „Białą listę” i wtedy połączą się z siecią tylko te urządzenia, które znajdują się na tej liście. Można również zaznaczyć czarną listę, wtedy wszystkie urządzenia będą dopuszczane oprócz tych wpisanych na czarną listę. Tak jest w przypadku tego routera. W Twoim routerze może być to zupełnie inne. Jak i nie będzie się nazywać „Access Control” a np. jak w jednym z znanych mi routerów Cisco – „Wireless Mac Filter”.

Wysokie podnoszenie bezpieczeństwa – czy na pewno?

Rozwiązanie w mojej opinii w pewnym stopniu wysoce podnosi bezpieczeństwo, lecz bywa uciążliwie. Przed podłączeniem nowego urządzenia do sieci będziecie musieli ręcznie wpisać adres MAC tego urządzenia. Tak nawet drukarki, konsoli czy wieży. Dlatego to rozwiązanie często stosuje się w firmach, aby pracownicy mogli podłączać do sieci służbowy komputer, lecz nie prywatny smartphone. Oczywiście można stosować to rozwiązanie również w domu. Uciążliwe i tylko dla osób, które są nieco bardziej zaawansowane. W warunkach domowych uważam to w większości przypadków za zbędne rozwiązanie.

W pewnym stopniu

Dlaczego w pewnym stopniu? Bo jak wspomniałem przy okazji drugiej części poradnika. Nie ma rozwiązania, którego nie da się obejść. To że w routerach można klonować adres MAC nie jest chyba dla nikogo zaskakujące. W końcu wielu z dostawców sieci identyfikuje swoich klientów właśnie poprzez DHCP na podstawie adresu MAC podanego na umowie. Lecz adres MAC można również zmienić w urządzeniu.

Udowodnij!

W macOS potrzeba do miany adresu MAC kilka komend terminala. W systemach rodziny Windows jest jeszcze prościej, gdyż wystarczy w ustawieniach karty sieciowej znaleźć odpowiedni parametr.

Domyślacie się pewnie, że w tym miejscu należy wpisać w systemie szesnastkowym dowolnie wymyślony adres MAC. Wpisujemy go bez znaku myślnika (-). Zatwierdzamy zmianę i gotowe. Temu tematowi poświeciłem osobny poradnik, który pojawi się niebawem.

Czyli co mogłoby się wydarzyć?

Jeśli uruchomilibyście funkcje filtrowanie adresów MAC. Dopisalibyście do dopuszczonych urządzeń adresy MAC swoich urządzeń. To jest możliwa następująca metoda ataku. Ktoś mógłby zacząć „podsłuchiwać” Waszą sieć np. przy pomocy programu Wireshark i mógłby zdobyć adres MAC komputera, który łączy się się z siecią. Następnie wystarczyłoby, że taki adres MAC ustawiłby w swoim urządzeniu, aby również móc się połączyć z Waszą siecią. Uprzedzam – wiem, że jest to nieco naciągana metoda ataku, jednak możliwa. Najpierw musimy zdobyć adres MAC urządzenia i mieć pewność, że jest ono dopisane do serwera DHCP. Posiadać lub podsłuchać hasło do sieci Wi-Fi. Trzeba odpowiednią ilość czasu poświęcić na podsłuchiwanie takiej sieci. Wiem, lecz chciałem tylko zwrócić uwagę że nie ma rozwiązań idealnych i nawet tę funkcję można obejść na swój skomplikowany sposób.

Bezpieczna sieć Wi-Fi – To wszystko?

Obie z przedstawionych funkcji prawdopodobnie nie będą przydatne Wam w domu. AP Isolation ze względu na to iż urządzenia nie będą się widziały. Filtrowanie adresów MAC przez swoją uciążliwość. W mojej opinii funkcje te sprawdzą się głównie w zastosowaniach firmowych, lecz nie wykluczam tego, że ktoś z Was z nich nie skorzysta. Wiem, że nie opisałem w ramach tego poradnika wielu innych funkcji, jak chociażby kontrola rodzicielska czy QoS. Jednak celem tego poradnika było trafienie do jak największej grupy zainteresowanych maksymalnie prostym językiem i funkcjami. Wydaje mi się że to nie było możliwe. Mam nadzieję, że chodź część z czytelników nauczyła się czegoś lub została zainteresowana tematem bezpieczeństwa sieci. Jak wspominałem w każdej części tak wspomnę i tu. W mojej opinii jeśli nie podajecie każdemu hasła. Od czasu – do czasu kontrolujecie kto łączy się z Waszą siecią Wi-Fi i macie mocne oraz unikalne hasło – nie ma większych powodów do obaw. Czekamy na Wasze komentarze, jakie jeszcze poradniki chcielibyście, aby znalazły się w TestHub.

obrazek tytułowy: pexels.com | screenshot: autora wpisu

Artykuł Bezpieczna sieć Wi-Fi: AP Isolation i filtrowanie adresów MAC (część 3/3) pochodzi z serwisu TestHub.pl.

Ukrycie SSID: niewidoczna sieć Wi-Fi

Ukrywanie SSID to funkcja, która nic nie wnosi do bezpieczeństwa. Powiedziałbym więcej: wprawna osoba szperająca w internecie znajdzie kompleksowy poradnik, jak taką sieć zobaczyć w warunkach firmowych lub domowych. Poza zbędnym narzekaniem reszty domowników lub pracowników firmy, że źle wpisują nazwę sieci i się nie łączy, nic ta funkcja nie wnosi bezpośrednio do bezpieczeństwa sieci.

Nie zrozumcie też mnie źle – nie twierdzę, że to zbędna funkcja. Uważam jednak, że jest przydatna tylko wtedy, gdy z jakiegoś powodu nie chcemy, aby konkretna sieć rzucała się w oczy. W jednej z firm, w której pracowałem, stosowano to rozwiązanie. Sieć Wi-Fi dla wszystkich pracowników była widoczna, a sieć typowo dla pewnej grupy pracowników była celowo ukryta. Według mnie ukrywanie do bezpieczeństwa nic nie wnosi prócz tego, że na pierwszy rzut oka sieć nie będzie widoczna dla wszystkich.

Przycisk WPS

W warunkach domowych to bardzo umilająca podłączanie się do sieci funkcja. Przy pomocy jednego kliknięcia lub podania wygenerowanego PIN-u łączymy się z siecią. Spotkałem się z opiniami, że WPS nie jest dobrze zabezpieczony przed atakami słownikowymi, czyli atakiem typu brutal force. Pewnie biorąc pod uwagę PIN składający się z samych cyfr, można się z tym zgodzić. W zastosowaniach firmowych ta funkcja jest zwykle wyłączana, traktowana jako luka bezpieczeństwa sieci. W zastosowaniach domowych podchodzę do tego tak: jeśli macie taką potrzebę, zostawcie włączoną. Osobiście nie korzystam z tego przycisku, ponieważ router stoi w łatwo dostępnym miejscu, a nie chciałbym, żeby ktoś prostym trikiem połączył się z moją siecią bez mojej zgody.

Firewall i SPI Firewall

Zapora sieciowa w routerze głównie odpowiada za obronę przed atakami DDoS. Sam atak DDoS to nic innego jak wykorzystanie w 100% zasobów danej sieci / serwera do tego, aby go unieruchomić. Takie ataki raczej nie zdarzą się na użytkowników domowych, stąd domyślnie funkcja pozostaje wyłączona.

SPI Firewall to coś nieco innego. Tłumacząc pokrótce, skanuje nagłówki pakietów przechodzących przez router. Weryfikuje w ten sposób, czy dane połączenie powinno zostać dopuszczone czy odrzucone. Domyślnie funkcja jest uruchomiona i warto zadbać, aby tak pozostało. Jeśli chcecie poznać więcej szczegółów dotyczących zapory, odsyłam do świetnego artykułu Krzyśka.

Czy sieć Wi-Fi może być w 100% bezpieczna?

Wszystko leży tak naprawdę w naszych rękach. Nie ma w mojej opinii osoby i produktu, którego nie da się przechytrzyć. Czy to odpowiednimi sztuczkami technicznymi, czy też socjotechniką. Jak wspominałem przy okazji pierwszej części poradnika, grunt to nie popadać w paranoję. Jeżeli jesteśmy zwykłym Kowalskim, mało prawdopodobne, że ktoś będzie miał powód, żeby włamać się do naszej sieci Wi-Fi. W 99% prędzej możena spodziewać się innych metod oszustwa, np. phishingu. Jeżeli chcecie więcej informacji dotyczących okradania przez internet, zapraszam do obejrzenia filmu Szafy.

Bezpieczna sieć Wi-Fi

Część 1. Bezpieczna sieć Wi-Fi: podstawy

Cześć 3. 42657a706965637a6e61207369651072057692d46693a2041502049736f6c6174696f6e2c20426c61636b6c69737420692066696c74726f77616e6965206164726573f377204d4143

Jaka jest nazwa części trzeciej? Czekamy na wasze komentarze.

grafika tytułowa: unsplash.com

Artykuł Bezpieczna sieć Wi-Fi: ukryte SSID, przycisk WPS i Firewall (część 2/3). pochodzi z serwisu TestHub.pl.

Poradnik nie będzie wysoce specjalistyczny. Chcę całość przedstawić w możliwe prostej formie dostępnej dla każdego. Zacznijmy najpierw od kwestii pewnie dla wielu nudnych, lecz zupełnie podstawowych.

Hasło do sieci Wi-Fi

Najbardziej podstawowa kwestia zabezpieczenia sieci Wi-Fi przed intruzami. Nawet nie biorę pod uwagę tego, że ktoś może mieć sieć Wi-Fi otwartą, bez hasła. Ustawione hasła do sieci bezprzewodowej są najczęściej słabe, składają się z prostych słów łatwych do zgadnięcia lub złamania jak vwpassat, kowalski lub po prostu imieniem, np. typowyseba. Oczywiście w warunkach domowych, gdzie nie jesteśmy osobami publicznymi, można stwierdzić, że nie ma czego się obawiać. Bo w jakim celu ktoś miałby łamać hasło do sieci dziadków, którzy z internetu korzystają tylko w ramach smart TV? Oczywiście można zakładać, że w ramach oszczędności – bo ktoś się nie zna i nie zorientuje się, że syn sąsiadów korzysta za darmo z internetu. Dlatego osobiście uważam, że dobre hasło to rzecz podstawowa. Istotnie, warto również wybrać protokół szyfrowania hasła sieci na najwyższy z możliwych, czyli WPA2 + AES. Jeśli dysponujemy dwiema częstotliwościami (2,4 GHz i 5 GHz), ustawiamy szyfrowanie w obu sieciach.

Login: admin, hasło: admin

To najbardziej podstawowe i występujące w większości routerów dane logowania do panelu administratora w routerze. Warto ustawić stosunkowo silne hasło, aby nikt, kto zaloguje się do naszej sieci (nawet za pozwoleniem), nie mógł dostać się do panelu administratora. Dostęp do panelu pozwala np. zablokować dane urządzenie w sieci (ten wątek poruszymy w kolejnych częściach tekstu), a nawet ustawić, żeby logi z naszego routera przychodziły pod wskazane miejsce, jak na poniższym screenie.

Dobre hasło – jakie to?

Pisałem już o tym przy okazji artykułu Dlaczego warto korzystać z menadżera haseł. Dodam do tego tylko tyle, że nie neguje haseł związanych z czymś, co łatwo nam zapamiętać. Lecz ustawiając coś prostego, łatwego do zapamiętania: ulubiony klub sportowy, samochód czy dane personalne, np. jankowalski. Warto wykazać się dozą pomysłowości i ustawić to za pomocą znaków specjalnych i cyfr: vwP@$at19Td! lub j@nN_Kovv@I$Ki – nie bez znaczenia jest tu wielkość liter i znaki specjalne. Takie hasło bardzo łatwo zapamiętać, nieco trudniej zgadnąć, a jeszcze trudniej złamać. Warto też stosować unikalne hasła; po więcej odsyłam do wspomnianego artykułu.

Zdalne zarządzanie routerem

Osobiście jeszcze nie spotkałem się z tym, by ta funkcja była domyślenie uruchomiona. Warto wiedzieć, że po jej uruchomieniu wystarczy wpisać nasz adres IP zgodnie z portem wyznaczonym przez router w oknie przeglądarki, aby mieć zdalnie dostęp do panelu logowania w routerze. Jestem zdania, że jeśli nie mamy żadnego konkretnego celu i potrzeb zarządzania nim zdalnie, nie należy udostępniać routera „na świat”.

Wydzielona sieć dla gości

Jeśli często odwiedzają nas goście, a nie mamy żadnych potrzeb ku temu, by dać im dostęp do swojej głównej sieci i jej zasobów, można stworzyć osobą sieć. W większości dzisiejszych routerów jest opcja dedykowanej sieci Wi-Fi dla gości, dzięki czemu w zależności od naszego routera możemy ograniczyć zarówno zasoby naszej sieci, żeby nie zużywali pełnej przepustowości jak, i odizolować ich od wszystkich naszych urządzeń podłączonych do głównej sieci Wi-Fi.

Aktualizacja oprogramowania routera

Dla osób nieco bardziej obeznanych w technologii punkt ten może być idiotyczny. Niemnie jednak uważam, że nie można go pomijać. Trzeba sprawdzić tuż po zakupie lub też po dłuższym użytkowaniu, czy nie pojawia się aktualizacja oprogramowania. Nawet taka, która nie wprowadza nic typowo do bezpieczeństwa naszej sieci, może uzupełnić router o dodatkowe funkcje. Przykładowo możemy otrzymać wsparcie dla dedykowanej aplikacji producenta na urządzenia mobilne czy zostanie poprawiona stabilność sieci.

Nie popadajmy w paranoję

Grunt to dostosować poziom zabezpieczeń do swoich potrzeb. Dlatego moim zdaniem to najbardziej podstawowe kwestie bezpieczeństwa, jakie powinniśmy zastosować w domowej sieci Wi-Fi. W kolejnej części opowiem o tym, czy warto ukrywać SSID (czyli widoczność naszej sieci Wi-Fi), o wbudowanym w routerze firewallu oraz o przycisku WPS domyślnie ustawionym na większości routerów.

Bezpieczna sieć Wi-Fi

Część 2, czyli 637a796c6920756b7279746520535349442c2070727a796369736b205750532069204669726577616c6c2028637a11915b10720322f3329

Cześć 3, czyli 5A6761646E696A203A44206E6965206D612074616B206C6174776F203A4420

Kto zgadnie dokładny tytuł kolejnych artykułów?

Artykuł Bezpieczna sieć Wi-Fi: podstawy (część 1/3) pochodzi z serwisu TestHub.pl.