Hirdetés
Védelem a gyakorlatban
Mindezek ellenére a Wi-Fi – kis odafigyeléssel – nem jár automatikusan szellősebb védelemmel, mint amilyet egy vezetékes LAN képes nyújtani. Bár a vezetékmentes hálózatok biztonsága valóban sebezhető, erre alapot legtöbbször a hálózatok gazdáinak nemtörődömsége és/vagy hozzá nem értése szolgáltat, nem a hálózati technológia maga. Az alábbi lépésekkel biztonságosabbá tehetjük vezeték nélküli otthoni vagy irodai hálónkat:
- Az első és legfontosabb teendő az AP gyári jelszó-beállításának megváltoztatása. A böngészőn keresztül elérhető konfigurációs panelt is gyári jelszó védi, ezt is változtassuk meg (illetve, ha alapesetben mégsem lenne jelszó, akkor feltétlenül állítsunk be egyet).
- Változtassuk meg az AP gyári IP-címét is.
- Kapcsoljuk ki a SSID-broadcastingot. Így ugyan kézzel kell majd beállítani, amikor kapcsolódunk, de semmi szükség rá, hogy az AP közhírré tegye a hálózat azonosítóját.
- Semmiképp se engedélyezzük a DHCP használatát – ezzel ugyanis mi juttatnánk IP-címhez a betolakodót (bár egy hozzáértőt ez sem akaszt meg pár percnél hosszabb időre).
- Az újabb AP-ket egy sereg egyéb szolgáltatás mellett tűzfal-funkciókkal is ellátják, ne hagyjuk kihasználatlanul ezt a lehetőséget.
- Használjunk WEP-et. Bár feltörhető, mégis jobb, mintha semmilyen titkosítás nem lenne a hálózaton. Természetesen, amennyiben lehetőségünk van és eszközeink támogatják, akkor
- használjunk inkább WPA-t. Ha nincs önálló autentikációs szerverünk, akkor válasszuk a PSK-t, az előző fejezetben taglalt biztonsági elvek figyelembevételével (legalább 20 karakteres jelszó, kerülve az értelmes – főleg angol – szavakat).
- Állítsunk be MAC-cím alapján történő szűrést. Ezzel korlátozni lehet, hogy milyen hardvercímű eszközök kapcsolódhatnak a hálózathoz.
- Körültekintően válasszuk meg az AP helyét, és korlátozzuk az erősségét (TX Power) olyan szintűre, hogy épp a mi igényeinket elégítse ki. Ehhez járjuk körbe a használni kívánt helyiségeket és ellenőrizzük, hogy hol elfogadható még a vétel. Ennél lényegesen nagyobb körben sugározni felesleges kockázat. Az AP-t igyekezzünk nagyjából a beszórandó terület közepén elhelyezni.
Egy tökéletes világban most vége lenne a cikknek, minden olvasó elvégezné a fenti beállításokat, és teljes lenne a nyugalom. A szomorú valóság azonban az, hogy ezek az intézkedések csupán megnehezíthetik egy behatoló dolgát. A Wi-Fi hálózatok legsebezhetőbb pontja – azaz hogy a már korábban említett „sniffinggel”, vagyis az adatforgalom figyelésével fel lehet deríteni a gyenge pontokat – továbbra is megmarad. Hiszen a továbbító közeg továbbra is a levegő, amely nem titkosítható. Ilyen módon kijátszható például a MAC-szűrés (mivel az engedélyezett hálózati eszközök azonosítói is titkosítatlanul utaznak az éterben, így elcsíphető és lemásolható egy engedélyezett azonosító), feltörhető a WEP, kinyerhető a jelszó.
A kompromisszumot nem ismerőknek csak a WPA-titkosítás jöhet szóba – nem olcsón. Szerencsére küszöbön állnak már azok a megoldások, amelyek kikerülhetővé teszik egy külön autentikációs szerver beállítását, ami eddig csak a nagyobb cégek privilégiuma volt. Az átlagos biztonsággal megelégedőknek pedig a gyakorlatias megközelítés adhat bizakodásra okot: felettébb valószínűtlen, hogy egy hacker az egygépes otthoni hálózatunkat olyan zsákmánynak tartaná, amelyért hajlandó lenne a házunk elől órákon keresztül „sniffelni” a gyér adatforgalmat.
Természetesen a valószínűségben bízni olyankor, amikor a biztonságról van szó, kétélű fegyver. De már az is valami, ha nem mi adjuk a behatolni szándékozók kezébe a kulcsot.
Szentesi Kálmán
Kapcsolódó honlapok:
