Image
6.4.2016 0 Comments

Zabezpečujeme domácu sieť Wi-Fi

V predošlých číslach sme predstavili niektoré útoky na bezdrôtové siete. Na základe získaných poznatkov sa v tomto článku pozrieme na ochranu sietí Wi-Fi využitím bežných, ale aj trochu netradičných metód. Povieme si, ktoré praktiky vyvolávajú falošný pocit bezpečia a ktoré vašu sieť Wi-Fi naozaj ochránia.

Výber bezpečnostného protokolu

Bezpochyby najdôležitejší prvok zabezpečenia Wi-Fi je použité šifrovanie. Ako základný krok používajte bezpečnostný mód WPA2 AES. Staršie zariadenia môžu mať problémy pri pripojení na takúto sieť, preto existuje možnosť zvážiť šifrovanie WPA/WPA2 AES + TKIP. Protokol TKIP však využíva pomerne starú metódu šifrovania, ktorá môže bezpečnosť vašej siete ohroziť. Všetky z týchto útokov na WPA TKIP sú našťastie zatiaľ len v teoretickej podobe, preto sa potenciálny útočník cez WPA lusknutím prsta nedostane. Ak sa teda na vašu sieť nepripájajú staršie zariadenia, použite iba ochranu typu WPA2 AES.

Proces prelamovania WEP sme opísali v predchádzajúcom článku. V skratke sa však dá povedať, že tento protokol možno prelomiť v priebehu niekoľkých minút a ako zabezpečenie siete ho rozhodne neodporúčame.

Prístupové heslo do siete

Protokoly WPA aj WPA2 vyžadujú najmenej 8-miestne heslo do siete. Aj keď sa 8 znakov môže zdať na prvý pohľad dosť, od ideálneho zabezpečenia to má na míle ďaleko. Ďalší častý problém pri výbere hesla je neoriginálnosť. Často používané heslá môžu byť rýchlo odhalené pomocou slovníkových útokov.

Ako si teda zvoliť dostatočne silné heslo bez nevyhnutného memorovania hesiel typu lO-z98/lN2? Na tvorbu hesiel existujú rôzne techniky, jedna z nich sú pamäťové pomôcky. Môžeme napríklad vytvoriť celé vety: „Dnes pôjdem do obchodu o 2. hodine poobede“ a použiť začiatočné písmená jednotlivých slov, heslo by potom bolo v tvare Dpdoo2hp. Získali sme tak funkčné 8-miestne heslo, ktoré sa určite nebude nachádzať v žiadnej databáze slov. Túto metódu však asi väčšina z vás pozná, preto sa na tvorbu hesiel pozrieme z trochu iného pohľadu.

Naším cieľom teda nebude vytvárať hatlaniny ako v predošlom prípade, ale namiesto toho si ako heslo bez problémov dovolíme použiť niekoľko slov či dokonca celú vetu. Zamyslime sa nad heslom: A chrust skok cez potok - aj napriek absolútnemu nezmyslu veríme, že frázy tohto typu sú jednoduchšie ako postupnosť náhodných znakov a čísel. Aj keď vidíme, že heslo nepoužíva žiadne špeciálne znaky ani písmená, jeho prelomenie by trvalo nepomerne dlhšie ako v prípade predošlého Dpdoo2hp. Nebojte sa teda experimentovať s dlhšími frázami, pridaním medzier, znakov a pod. Hlavný účel je, aby bolo heslo čo najbezpečnejšie a ľahko zapamätateľné zároveň. Využitím tejto metódy zabijete dve muchy jednou ranou.

Na porovnanie sa pozrieme na rýchlosť prelamovania hesiel, ktoré sme si uviedli v príkladoch:

Heslo WPA Potrebný čas
Dpdoo2hp 2,269 * 103 rokov
A chrust skok cez potok 1027 rokov

WPS – kamarát alebo nepriateľ?

       Funkcia WPS je určená na zjednodušenie pripojenia do siete. Jej zneužitiu na vniknutie do siete sme sa už venovali vo februárovom čísle. V prípade tejto zraniteľnosti vôbec nezáleží na dĺžke prístupového hesla, čiže úspešným útokom WPS môže byť obnovené ľubovoľne dlhé heslo WPA/WPA2. Novšie zariadenia sa snažia implementovať rôzne funkcie, ktoré sa snažia potenciálne útoky odraziť. Ich úspešnosť však vždy nie je stopercentná. Ak teda nie ste na službu WPS odkázaní, odporúčame vám ju na svojom zariadení vypnúť.

Zmena prihlasovacích údajov

Ďalší z najbežnejších prvkov ochrany siete Wi-Fi je zmena prihlasovacích údajov. Na internete existuje nespočetné množstvo dokumentov, z ktorých sa tieto predvolené prihlasovacie údaje dajú vyčítať. Pravidlom by malo byť, že na zariadení neostanú nijaké heslá ani PIN kódy, ktoré sú na ňom od výroby. Ďalší skvelý ochranný prvok je zmena používateľského mena administrátora, ale umožňujú ju len niektoré druhy routerov. Prípadný hacker bude takmer vždy skúšať prihlasovacie meno admin. V prípade jeho zmeny na čokoľvek iné je preniknutie do zariadenia metódou hrubej sily takmer nemožné.

Zmena názvu siete

Zmena predvoleného názvu siete (ESSID) sa odporúča vo všetkých návodoch na zabezpečenie siete. Prečo to je tak?

Postup prelamovania hesla sietí Wi-Fi je pomerne komplexný. Celý proces závisí od zhody špeciálnej hodnoty haš, nazývanej PMK. PMK je generované z hesla a ESSID siete. Útok hrubou silou sa zakladá na dosadzovaní rôznych hesiel do generačného algoritmu, vytvorení PMK a jeho následnom porovnaní s hodnotou na AP. V prípade, že sa hodnoty zhodujú, heslo bolo správne a počítač sa môže pripojiť do siete. Celý proces generovania týchto hodnôt haš je pomerne náročný na hardvér a značne ovplyvňuje dĺžku útoku. Na internete sú však dostupné rôzne databázy, ktoré majú hodnoty PMK vopred vygenerované. Tieto hodnoty sú dostupné pre najpoužívanejšie názvy sietí, ako napr. VOIP, Internet, dlink, default a pod. V prípade použitia takejto databázy sa skúšanie hesiel z 3100/s môže zmeniť na 400- až 500-tisíc/s, čím sa proces prelamovania nepomerne urýchli. No v prípade zmeny ESSID siete na niečo unikátne sú tieto vopred vygenerované databázy nepoužiteľné, čím je potenciálny útok značne spomalený.

Aktualizujte firmvér

Firmvér je základný softvér, ktorý riadi náš Wi-Fi router. Vo väčšine prípadov používateľ nemusí s firmvérom nikdy narábať. Niekedy však výrobca zariadenia vydá aktualizáciu, ktorá môže pridávať novú funkcionalitu, zrýchliť zariadenie a v neposlednom rade aj opraviť niektoré bezpečnostné chyby. Používateľ by sa preto z času na čas mal presvedčiť, že jeho zariadenie používa najnovšiu verziu tohto programu.

Aktualizácia nie je náročný proces a väčšinou sa dá vykonať prostredníctvom jedného kliknutia vo webovom rozhraní zariadenia. Router si automaticky vyhľadá najnovšie aktualizácie a v prípade potreby si ich stiahne. Pri starších zariadeniach je tento proces pomerne komplikovaný a niekedy treba robiť aktualizáciu firmvéru ručne. Tento proces pre menej skúsených používateľov neodporúčame.

Fyzické zabezpečenie

Opísané softvérové nastavenia sú síce pekné, ale v prípade, že útočník získa fyzický prístup k zariadeniu, softvér nám nepomôže. Svoje zariadenie preto umiestnime na miesto, kde k nemu nemajú prístup cudzie osoby, na nenápadnom alebo inak ťažšie dostupnom mieste.

Administrácia

Ďalšia možnosť zvýšenia bezpečnosti je úprava politiky administrácie zariadenia. V prípade, že sa na zariadenie nechceme pripájať zo vzdialených lokalít, je rozumné vypnúť službu vzdialenej administrácie (Remote login). Ak je táto funkcia povolená, ktokoľvek na internete sa môže pokúšať pripojiť na naše zariadenie, spúšťať útoky brute-force, ale aj útoky typu DoS a DDoS. Na domácich zariadeniach nevidíme veľký dôvod ponechávať túto funkciu zapnutú, preto ju odporúčame vypnúť.

Ďalej sa oplatí porozmýšľať aj o bezdrôtovej administrácii, ktorú takisto možno vypnúť na niektorých typoch zariadení. Vypnutím tejto možnosti sa nebude môcť do routera prihlásiť nikto, kto k nemu nemá káblové pripojenie. Ak teda hacker náhodou získa prístup k sieti, bezdrôtovo nebude vedieť vykonať nijaké zmeny v zariadení.

Firewall

Niektoré kvalitnejšie zariadenia majú zabudovaný aj nastaviteľný firewall. Tento prvok slúži na filtrovanie neželanej komunikácie, čo sa môže v niektorých prípadoch hodiť. Nebudeme tu rozoberať jednotlivé nastavenia, keďže rozhranie sa môže líšiť od zariadenia k zariadeniu. Túto funkciu je dobré povoliť a prípadne doladiť jednotlivé nastavenia podľa požiadaviek.

Skrývanie SSID

Na niektorých weboch radia, aby sme na svojich sieťach názov skrývali. Pomáha to však pri odrazení potenciálnych útokov? Odpoveď znie: nie.

Skrytím názvu siete odradíte možno tak svojich susedov, ale programy používané hackermi vedia používané ESSID siete zistiť v priebehu niekoľko sekúnd. Táto metóda vás teda nijako neochráni a navyše vám skomplikuje pridávanie nových zariadení na sieť. Podľa nášho názoru je určite lepšie ponechať zapnuté.

Filtrovanie MAC adries

Proces filtrovania MAC adries sa zakladá na definovaní zariadení, ktoré budú do siete pripustené alebo budú, naopak, odmietnuté. Celé filtrovanie prebieha na princípe rozpoznávania fyzických adries (MAC), ktoré sú pre každé zariadenie unikátne. Je teda filtrovanie MAC adries vhodný bezpečnostný prvok alebo ho hackeri vedia jednoducho obísť?

Filtrovanie adries môže opäť odradiť susedov, ale niekomu so špeciálnym softvérom nerobí tento stupeň ochrany nijaký problém. Nástroje používané hackermi umožňujú odkopírovanie MAC adresy a jej následné použitie vo svojom PC. Útočník sa tak dokáže na sieť pripojiť, aj keď sa skutočná adresa jeho zariadenia nenachádza na zozname. Tento proces sa nazýva MAC address spoofing.

Filter MAC adries sa teda nedá považovať za bezpečnostný prvok, ktorý by mohol odraziť potenciálne útoky na bezdrôtovú sieť. Nehovoríme vám, aby ste filter MAC nepoužívali, ale v prípade, že sa na vašu sieť pripája veľa rozdielnych zariadení, pridávanie a odoberanie adresy každého zariadenia znamená zbytočne vynaloženú prácu v porovnaní s mizerným levelom ochrany, ktorú filter poskytuje.

Redukcia vysielaného signálu

V prípade, že svoj vysielaný signál obmedzíme, hackeri budú mať menej možností na útok na sieť. Pri slabšom signáli je aj prenos dát pomalší, takže útok na sieť môže byť značne spomalený. Redukcia signálu sa dá dosiahnuť zmenou typu alebo výkonu antény, ale niektoré routery umožňujú intenzitu signálu nastavovať aj priamo vo svojom webovom rozhraní.

Monitorovanie

Proces občasného monitorovania siete môže pomôcť pri odhalení nepovolaného hosťa na nej. Medzi techniky monitorovania môže patriť sledovanie pripojených zariadení na sieti, sledovanie tabuľky DHCP, prípadne využitie softvéru tretej strany.

Záver

V tomto článku sme prešli všetky nastavenia potrebné na maximálne zabezpečenie domácej siete Wi-Fi. Na ďalšie zvýšenie bezpečnosti sa ešte môžete pohrať s nastaveniami routera a nájsť nejaké nastavenia, ktoré sme v článku nespomenuli. Väčšina spomínaných praktík je vhodná aj pre menšie firemné siete Wi-Fi, tam však treba klásť oveľa väčší dôraz na monitorovanie a autentifikácia by mala byť riešená prostredníctvom protokolu 802.1X a Radius servera.

 

 

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Bezpečnosť 1

Ministri dopravy únie schválili prvé celoeurópske bezpečnostné pravidlá pre drony

05.12.2016 00:10

Ministri dopravy krajín Európskej únie schválili úpravu pravidiel v oblasti civilného letectva. Bezpečnosť v doprave bola pritom hlavnou témou zasadnutia, ktorého sa za predsedajúcu krajinu zúčastnil ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá