Služby v oboru bezdrátových sítí, připojení k internetu, správa LAN, hotspot systémy..
    Aktualizovaná nabídka služeb viz menu..
Nabídka připojení k internetu Praha!

Jak zabezpečit wifi připojení (WLAN) v domácí síti?

wifi přístupový bod AP O Wi-Fi (Wireless Fidelity) se toho popsalo hodně. Všude na internetu najdete plno článků o tom, jak zabezpečit domácí WLAN (Wireless Local Area Network) síť a jak lehce lze zabezpečení bezdrátové sítě prolomit. Neexistuje moc článků, které by stručně a užitečně vysvětlily jak zabezpečit domácí síť a  jak zamezit útokům hackerů. Bezdrátové sítě mají oproti kabelovým jednu nevýhodu – laik neumí výrazně omezit prostor pro šíření wifi signálu, potažmo prostor kde je síť přístupná pro všechny. Pár zásad pro zvýšení ochrany domácí sítě před script kiddies a nezvanou návštěvou.Po zakoupení a a zapojení AP (Access Point) v první řadě zabezpečte standardní webové administrační rozhraní. Obvykle běží na portu 80 bez šifrování a veškerý provoz lze zachytit sniffrem jako třeba OmniPeek nebo Cain & Abel. V lepším případě lze v přístupovém bodu vzdálenou administraci zakázat (přístup po LAN povolen, přístup z WLAN zakázán). Průmyslové AP lze konfigurují přes RS 232, novější Access Pointy běžně i pomocí šifrovaného protokolu  SSH. Obdobou pro operační systémy Microsoft Windows je WinBOX. Software nástroj pro konfiguraci bezdrátových zařízení RouterOS od firmy Mikrotik.

Co udělat pro zabezpečení bezdrátové sítě?

– MAC adress filtering (MAC filtr nebo i MAC whitelist) je technika zabezpečení která umožňuje vyřadit neuatorizované MAC adresy síťových karet z provozu. Klientské zařízení které nejsou definovány v seznam přístupového bodu jsou ignorovány. Odchytit MAC adresu z provozních dat je pro zkušeného uživatele hračka, pro amatéra nadlidský výkon

– V nastavení přístupového bodu změňte ESSID – čím méně nápadné típ lépe, a vypněte broadcast (vysílání) ESSID. Netstumbler sice neumí SSID odhalit ale tento program používá 90% lidí. Na Kismet nebo airodump-ng v kombinaci s aireplay-ng který si z ESSID poradí během minuty, mentálně stačí zanedbatelné procento populace. Skrýt vysílání SSID je malým ale né bezvýzanmným krokem k ukrytí Vaší sítě před náhodným kolejdoucím.

– Nakonfigurovat nové jméno administrátora, nové heslo do administrace AP a pokud lze i rozsah a třídu IP adres které zařízení přiděluje pomocí DHCP klientům v síti. Doporučuji vše dělat z LAN po kabelu, né vzduchem.

– Izolujte WLAN od LAN nebo používejte funkci izolovat klienty. Odposlech nebo napadení počítače je na takto zabezpečené síti nemožný.

– Zapínat silnější WEP šifrování (vyšíí jako 64 bit t.z 128 nebo 256 bitů) nemá moc valný význam. WEP šifrování lze dnes prolomit během minut a né každé wifi zařízení podporuje stejnou sílu šifrování. Pokud tak budete činit a nemáte možnost použít WPA AES, WPA TKIP nebo WPA-PSK, volte nejsilnější. To, že silné zabezpečení spomaluje provoz na síti je průpovidka.

– Ať je vaše zabezpečení jakékoliv, pokuste se alespoň občas měnit šifrovací klíč za jiný. Používejte ASCII né HEX formát. Nové Access Pointy umí automaticky generovat nové hesla.

– Novinky paušálně podporují WPA (WiFI Protected Access) šifrování doporučen WiFI Aliancí. Existuje již řada implementacíjako třeba TKIP (Temporal Key Integrity Protocol), RADIUS, WPA Personal, WPA Bussiness. Klíč se mění ale pokud používate WPA-PSK pak autorizace probíhá prostředníctvím handshake a ten lze odchytit a prolomit.

– Ochrana proti Denial of Service (DoS) útoků je nepopsatelná proto, že v dnešní době lze injektovat libovolný trafik. Pokud nefunguje injekce, funguje zahlcení.

– Man in the middle Firma – ve firmě kde lokální sítí proudí citlivá data je potřeba v pravidelném intervalu provádět audit bezdrátových sítí. zamezíte tím černou přípojku která vám pustí žílou.

– Správna volba antény je dle mého názoru nejlepší zabezpečení bezdrátové sítě. Lidé ovecně s oblibou na svých AP používají vysoce ziskové antény na kratší vzdálenosti. Regulace výkonu a slabá (směrová) anténa je lepší jako neregulovaný plný výkon a silná všesměrová anténa. Směrovka se hodí od půl kilometru dál. Existuje řada typů wifi antén. Nejjednodušší plechovka od kosteleckých párku počíajě, přes sektorové antény, panelové antény, parabolické směrové antény s nízkm SNR, yagi až po tkz síta které lze pro pásmo 2.4 GHz koupit až do 24dBi výkonu.

– Na závěr snad ještě napsat, že na straně jedné maximálně zabezpečená bezdrátová síť je těžký oříšek na straně druhé to může působit přesně opačně – jako výzva.

Zájemcům o bezpečnost wifi sítí doporučuji české Security Fórum kde lze diskutovat a konzultovat zabezpečení wifi sítí v profi rovině.

2 komentáře

1 the.max { 04.23.09 at 23:58 }

Ja bych naopak doporucoval zadavani klice pomoci HEX. Je pravda, ze prolomeni pomoci aircracku je naprosto stejne rychle jako pri pouziti cisteho ASCII, ale pokud nekdo jeste pouziva slovnikovy utok, tak pomoci HEX zadany klic muze obsahovat i netiknutelne znaky, cimz se prolomeni ztizi.

2 butch { 06.10.09 at 13:50 }

Dobrý den,
jestli mohu, chci požádat o radu. K wifi síti se připojuji přes ovislink 5460AP a protože signál chytám nahoře pod střechou, po domě se připojuju taky bezdrátově – ovislink v režimu WISP universal repeater. Od poskytovatele mám IP i DNS atd., připojím se v pohodě. Když ale nastavím v access pointu šifrování (jakékoliv WEP i WPA) tak se nepřipojím a notebook ani tu domácí síť nenajde. Lze takto odhadnout nebo dokonce přesně identifikovat kde je problém? Díky za odpověď, B.

Leave a Comment