Računalništvo, telefonija
13.07.2018 12:00

Deli z drugimi:

Share

Je vaše brezžično omrežje res varno?

Varnost brezžičnega omrežja naj se ne zanaša le na geslo. Pripravili smo par nasvetov, ki vam bodo omogočili mirnejši spanec...
Je vaše brezžično omrežje res varno?
Je vaše brezžično omrežje res varno?

Brezžično omrežje je zelo priljubljena vstopna točka hekerjev in drugih napadalcev, saj jim omogoča, da pridobijo dostop do omrežja in podatkov ne da bi prestopili prag zgradbe ali našega doma. Zato se spodobi, da ga ustrezno zavarujemo in jim delo kar se da otežimo. Varnost brezžičnega omrežja ni odvisna le od kakovosti postavljenega gesla, varnostni strokovnjaki priporočajo tudi naslednje ukrepe:

Ime omrežja (SSID) je pomembno

Med nastavitvami brezžičnega omrežja navadno vedno najprej izberemo ime svojega omrežja. Čeprav se zdi, da ime nima neposredne povezave z varnostjo, to ne drži. Ime omrežja naj bo tako, da ne razkriva, kje se le-to nahaja, morebiti je celo bolje, da se predstavlja kot manj zanimiva tarča. Primer: omrežje »Pisarna« bo za potencialnega napadalca bistveno bolj zanimivo od omrežja, poimenovanega »Dedekinbabica«. Varnostni strokovnjaki svetujejo, da splošnih imen, kot npr. »wireless« in tovarniških nastavitev ne uporabljamo, saj s tem napadalcem olajšamo delo – sploh če poznajo ranljivosti posameznih omrežnih naprav.

Enkripcija omrežja: izberite najzahtevnejšo možnost

Brezžična omrežja poznajo vrsto različnih varnostnih mehanizmov. Eden najbolj učinkovitih je enkripcija. Izberete lahko le enega izmed možnih načinov enkripcije (beri: šifriranja) povezave, zato izberite najzahtevnejšega med njimi – WPA2 z avtentikacijo 802.1X.

Vsak uporabnik naj ima svoje geslo

V nastavitvah šifriranja povezave obstajata tipično dve možnosti – poslovna in domača. Poslovna rešitev v večini nastavitev usmerjevalnikov in dostopnih točk sliši na ime »Enterprise mode« (ali Enterprise WPA2, tudi WPA2-EAP), od domače »Personal mode« pa se loči po tem, da omogoča avtentikacijo vsakega uporabnika posebej – vsak uporabnik brezžičnega omrežja ima torej svoje uporabniško ime in geslo. To ni uporabno le v poslovnih okoljih, kjer skrbnik omrežja ob ukradeni napravi ali če zaposleni zapusti podjetje, preprosto ukine njegovo uporabniško ime, temveč tudi pomeni, da lahko napadalec, ki se je uspel polastiti enkripcijskega ključa, še vedno lahko pregleduje le promet zlorabljenega uporabnika, ne pa tudi drugih. V poslovnih okoljih z več uporabniki skrbniki omrežja pogosto postavijo namenski avtentikacijski strežnik RADIUS in ga povežejo z aktivnim imenikom (AD) uporabnikov.

Če oprema omogoča, nastavite tudi Unicast in Group Ciphers na AES (ali AES CCM) ter onemogočite TKIP kriptiranje. AES je novejši način odiranja, ki ima manj znanih ranljivosti. Dodatna prednost je, da je kodiranje in dekodiranje AES protokola v dražji opremi rešeno s strojnimi pospeševalniki in je zato delovanje WiFi na koncu hitrejše.

Kaj pa če imam Mikrotik usmerjevalnik ali AP?

Doma seveda ne bomo vzpostavljali radius strežnikov ali AD infrastrukture, lahko pa z opremo določenih proizvajalcev dosežemo podobne rezultate.

Če imate usmerjevalnik podjetja Mikrotik, lahko vsaki napravi, glede na njen MAC naslov brežžične kartice, dodelite svoje WPA2 geslo.

To ni uporabno zgolj za preprečevanje vdorov, ampak tudi za bolj domače zadeve, kot je recimo omejevanje uporabe računalnikov za otroke in podobno. Gesla lahko namreč veljajo le v določenih časovnih obdobjih dneva.

Namig: to storitev v meniju Wireless, zavihek Access List. Vnesite MAC naslov WiFi naprave, ki se povezuje, ter unikatno geslo za to napravo, ter opcijsko čase, v katerih naj to velja. Seveda otrokom potem ne smete izdati privzetega gesla tega omrežja, ampak le teg, ki ga tu nastavite..

Uporabite močno geslo

Strokovnjaki priporočajo uporabo dolgih alfanumeričnih gesel (beri: gesel, sestavljenih iz črk in številk), a te si ljudje težko zapomnimo. Ali pa tudi ne. Čeprav varnostni strokovnjaki odsvetujejo uporabo posameznih besed, ki se nahajajo v slovarju, saj to olajša delo napadalcem, pa kombiniranje več besed in številk ter drugih znakov pomaga ustvariti bistveno močnejše geslo, ki si ga še vedno lahko zapomnimo. Močna gesla so: krokodil?=55banan, čevap18!burek, N3p0v3MG3$L4 in podobna.

Za še naprednejšo varnost uporabljajte certifikate

Čeprav je način Enterprise WPA2 med najvarnejšimi, še vedno premore nekatere ranljivosti, npr. lahko je tarča t. i. man-in-the-middle napada, kjer se napadalec predstavi kot naše omrežje in skuša ukrasti podatke za prijavo. Z uporabo funkcije verifikacije certifikatov (avtentikacija 802.1X) pa bo uporabnikova naprava (če to seveda podpira) najprej preverila, ali komunicira s pravim strežnikom (RADIUS) in šele nato poslala ustrezne podatke za prijavo v brezžično omrežje.

Ne pozabite na fizično varovanje opreme

Brezžična varnost nima opraviti le s sodobnimi tehnologijami in protokoli. Tudi najboljša enkripcija in močno geslo nam bosta bore malo pomagala, če se bo napadalec fizično prebil do našega brezžičnega usmerjevalnika ali dostopne točke ter ga/jo ponastavil na tovarniške nastavitve. Zato imejte vedno v mislih tudi fizično varnost, obravnavajte jo kot eno mogočih ranljivosti. Terminalsko opremo zato namestite izven dosega povprečnih uporabnikov in če se da, omejite fizični dostop do gumbov in vmesnikov naprave.


Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem VIRTUA IT d.o.o.
Za več informacij so vam na voljo pri VIRTUA IT d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Logotip podjetja

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem VIRTUA IT d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Makro Team d.o.o.

Ilaunigova ulica 5, 2230 Lenart v Slovenskih goricah, Tel: 040 410 451, 02 729 25 40
Ste mislili, da je IT podporna služba primerna le za večja podjetja? Zagotavljanje strokovne informacijske podpore bodisi na daljavo ali na fizični lokaciji ima številne prednosti, ... Več

MA-KO d.o.o.

Tovarniška cesta 2b, 5270 Ajdovščina, Tel: 05 368 11 10
Se sprašujete, kako najti najboljšega ponudnika računalniških sistemov in storitev? Kriteriji dolgoletne izkušnje, kakovostne storitve in zadovoljstvo strank takoj obrodijo ... Več
Bronasti partner

AKREDON d.o.o., Toner123.si

Moste 30, 4274 Žirovnica, Tel: 051 392 793
Spletna trgovina Toner123.si V spletni trgovini Toner123.si lahko izbirate med bogato ponudbo originalnih in kakovostnih kompatibilnih tonerjev ali kartuš za tiskalnike svetovno znanih ... Več

RSLukan, Matjaž Lukan s.p.

Pri malem kamnu 11, 1000 Ljubljana, Tel: 051 302 160
Delovanje sodobne družbe je pogojeno z brezhibnim delovanjem računalniških in informacijskih sistemov. Predstavljajte si svet brez tehnologije ali še huje, svet brez ustrezne IT ... Več