O czym musimy pamiętać, zabezpieczając sieć bezprzewodową

[CKUreprezent]

Zmień hasła na inne niż domyślne

Ostatnio głośno było o dużym Botnecie opartym o rotuery, serwery i modemy oparte o system linuks. Botnet powstał dzięki temu że bardzo dużo ludzi miało zostawione standardowe hasła w swoich urządzeniach. Ustawienie w miarę silnego hasła obroni nas przed tego typu atakiem i utrudni zgadnięcie potencjalnemu włamywaczowi dostanie się do ustawień routera. Zaleca się zmianę hasła na samym początku.

 

Wyłącz możliwość połączenia się z routerem z zewnątrz

Pozwoli to zabezpieczyć się przed atakiem z zewnątrz. Mimo ustawionego silnego hasła router może być dalej podatny na atak przy pomocy specjalnych programów/skryptów.

 

Włącz szyfrowanie połączeń

Do zastosowań domowych najlepszym rozwiązaniem wydaje się użycie WPA/WPA2 jeżeli tylko urządzenia na to pozwalają. W innym wypadku pozostaje nam WEP i użycie długich złożonych kluczy. Do stworzenia kluczy mogą posłużyć nam dostępne na stronach generatory http://www.powerdog.com/wepkey.cgi lub lepszy http://www.warewolflabs.com/portfolio/programming/wlanskg/wlanskg.html

 

Protokół WEP (ang. Wired Equivalent Privacy) - działa na zasadzie współdzielonego klucza szyfrującego o długości 40 do 104 bitów i 24 bitowym wektorze inicjującym. WEP jest aktualnie bardzo złym zabezpieczeniem które nie chroni nas przed włamaniami z zewnątrz. W średnio obciążonej sieci klucze WEP można złamać w 90% przypadków, poniżej 1h pasywnego nasłuchiwania pakietów. WIĘCEJ

Protokoły WPA/WPA2 - nowe, dużo bardziej bezpieczne mechanizmy szyfrowania przesyłanych danych.

 

Filtruj MAC adresy

Dodanie tylko wybranych maszyn a wykluczenie wszystkich innych pozwoli to ograniczyć możliwość dołączenia się do sieci obcej maszyny.

 

Wyłącz DHCP

DHCP wydaje się bardzo dobrym rozwiązaniem dla małych sieci jednak daje włamywaczowi szybki dostęp do informacji o ustawieniach sieci. Rozwiązaniem może być ustawienie statycznego przypisywanie adresów przez DHCP dla określonych adresów MAC. Jednak bezpieczniej jest ustawić ręcznie adresy na klientach i skorzystać z puli adresów innych niż fabrycznie ustawione.

 

Rozgłaszanie SSID

W tym punkcie należałoby skupić się na dwóch punktach, pierwszym z nich jest rozgłaszanie nazwy sieci. Całkowite ukrycie rozgłaszania ESSID wydaje się najlepszym rozwiązaniem, jeżeli jednak nie jest to możliwe to należy zmienić nazwę z domyślnej. Drugim punktem jest zasięg w jakim jest widoczna sieć. Jeżeli router ma tylko taką możliwość należałoby zmniejszyć siłę sygnały i ograniczyć ją tylko do wymaganego minimum.

 

Uaktualniaj soft routera

W wielu wypadkach oznacza to polepszenie wydajności i podniesienie poziomu bezpieczeństwa, często także nowe funkcje.

[Avatat]

Ja jeszcze od siebie dorzucę jeśli można:

- Jeżeli jest możliwość ustawienia mocy - ustaw jak najniższą, tak aby sygnał pozostał "zamknięty" w domu, biurze.

- Nigdy nie stosuj haseł słownikowych typu "kot", "pies", "ala ma kota" gdyż są bardzo proste do złamania metodą słownikową. Najlepsze są hasła te z generatorów np. http://www.yellowpipe.com/yis/tools/WPA_key/generator.php

- Zmień adres podsieci (standardowo na routerach są podsieci 192.168.1.1/24 itp) ustaw sobie np. 10.11.12.1/24, ciężej będzie "trafić" na właściwe IP.

Pozdrawiam!

[Fix00ser]

Podstawowa baza wiedzy na temat bezpieczeństwa sieci WiFi

http://sekurak.pl/bezpieczenstwo-sieci-wi-fi-czesc-1/