Wi-Fi pod kluczem

Nowoczesny router, nawet jeśli ma domyślnie aktywowane silne szyfrowanie połączenia, nadal zawiera sporo luk, z których mogą skorzystać hakerzy. Login i hasło administracyjne są standardowe i powszechnie znane. Nazwa sieci bezprzewodowej (SSID) jest widoczna dla każdego. Router akceptuje podłączenie każdego komputera, jeśli tylko jego użytkownik zna hasło – w internecie można znaleźć bez trudu tzw. tęczowe tablice, czyli słowniki do odgadywania haseł. To wszystko sprawia, że nawet bez złamania algorytmu szyfrującego haker może dostać się do sieci Wi-Fi, jeśli nie będzie skutecznie zabezpieczona.

Konsekwencje? Jeśli włamywaczem jest sąsiad, który chce za darmo korzystać z internetu, odczujesz to w postaci wolniej działającej sieci albo szybkiego wyczerpania się pakietu GB, wykupionego od operatora. Gorzej, gdy włamywaczem jest haker, który chce użyć twojego łącza do ryzykownych czy niezgodnych z prawem działań, np. do dalszych włamań, sterowania botnetem utworzonym ze zhakowanych wcześniej komputerów, a nawet do udostępniania nielegalnych danych, np. pornografii dziecięcej. Jeśli nielegalną działalnością zainteresuje się policja, trafi po adresie IP do twojego domu. W najlepszym wypadku skończy się to wezwaniem na komendę. Opiszemy sposoby poprawienia bezpieczeństwa sieci Wi-Fi i pokażemy w warsztacie, jak to zrobić.

Poziom szyfrowania ustawionego w nowych routerach jest zadowalający. Standard Wi-Fi już od 2006 roku wymaga implementacji szyfrowania WPA2 (Wi-Fi Protected Access), z kluczem AES 256-bit, który dotąd nie został złamany przy użyciu ataku kryptoanalitycznego. Mimo to sprawdź swoje urządzenie. Wykonane przez nas proste skanowanie pobliskich sieci ujawniło, że 2 z 22 punktów dostępowych stosowały przestarzałą metodę szyfrowania WEP (Wired Equivalent Privacy), z 40-bitowym kluczem, który można łatwo złamać.

Stosowane zabezpieczenie najlepiej zweryfikować w panelu administracyjnym routera w opcjach sieci bezprzewodowej. Powinieneś mieć wybrane szyfrowanie WPA-PSK (WPA2-PSK), czyli szyfrowanie WPA (WPA2) połączone z mechanizmem autoryzacji za pomocą hasła PSK (Pre-Shared Key).

Router może też umożliwiać wybór metody szyfrowania: starszej TIKP, powiązanej ze standardem WPA, oraz nowszej CCMP (opcja w routerze może nazywać się AES), powiązanej z WPA2. Bezpieczniejsza jest ta druga, bo używa 256-bitowego klucza, a nie 128-bitowego.

Najsłabszym punktem standardu WPA-PSK jest hasło. Silny algorytm zabezpieczający uniemożliwia atak kryptograficzny, dlatego hakerzy liczą na lenistwo użytkowników i atakują hasła, zwykle bardzo proste. Wiele analiz statystycznych haseł, sporządzonych na przykładzie baz danych konkretnych serwisów (znajdziesz je np. na stronach http://pcformat.pl/u/147, http://pcformat.pl/u/148, http://pcformat.pl/u/149), pokazuje, że najbardziej popularnym hasłem jest ciąg znaków 123 456. Wysoką pozycję mają także password lub Password1. Jak wymyślić dobre hasło – patrz ramka „Silne hasło dostępu”.

Przy domyślnych ustawieniach można się zalogować do panelu administracyjnego routera, będąc wewnątrz sieci. Zmiana hasła administracyjnego do routera jest niezbędna, by haker po włamaniu do sieci nie mógł się dostać do panelu administracyjnego i np. nie przejął całkowitej kontroli nad siecią. Chodzi też o to, by osoby niepowołane (np. dzieci, sąsiad, któremu dałeś login do sieci Wi-Fi) nie grzebały w ustawieniach. Dobrze jest także zmienić domyślną nazwę konta administracyjnego (zwykle „admin”), choć nie zawsze jest to możliwe.

Skutecznym utrudnieniem dla hakera jest zablokowanie funkcji rozgłaszania nazwy sieci (SSID broadcast). Standardowo router informuje o tym, jak nazywa się sieć, dzięki czemu użytkownik może wybrać jej nazwę z menu i łatwo się do niej podłączyć. To jednak funkcja przydatna przede wszystkim dla publicznych hotspotów. Ponieważ do swojej domowej sieci nie chcesz zapraszać osób postronnych, wyłącz tę funkcję w panelu administracyjnym routera. Dzięki temu haker oprócz hasła będzie musiał odkryć także nazwę twojej sieci.

Musisz również zmienić domyślną nazwę sieci bezprzewodowej. Zazwyczaj jest to nazwa producenta routera (np. dlink, linksys) albo nazwa usługodawcy, jeśli router dostarczyła firma telekomunikacyjna. Lepiej unikać popularnych nazw sieci (statystykę popularnych słów używanych jako SSID na świecie znajdziesz na stronie http://pcformat.pl/u/151). Nie używaj także oczywistych haseł typu: sieć, domek czy imienia, nazwiska lub nazwy ulicy.

Każda karta sieciowa ma swój unikatowy adres identyfikacyjny MAC (Media Access Control). Ustawienie filtrowania adresów kart sieciowych pozwala ograniczyć dostęp do sieci bezprzewodowej i przewodowej wyłącznie do puli zaufanych komputerów. Aby to zrobić, musisz poznać adresy własnych komputerów. Najłatwiej je sprawdzić, wpisując do linii komend systemu Windows polecenie ipconfig/all (w Windows 7 linię komend wywołasz, naciskając przycisk Start i wpisując w pole wyszukiwania cmd; w Windows XP klikasz przycisk START, potem opcję Uruchom i wpisujesz cmd). Wówczas Windows wyświetli wszystkie aktywne interfejsy sieciowe. Adresy MAC są widoczne w linii Adres fizyczny, a wyglądają np. tak: 00–1D-30–35-F5–21. Adresy MAC znajdziesz też w panelu administracyjnym (np. w ustawieniach serwera DHCP, w statusie, w logach) na liście komputerów podłączonych do punktu dostępowego.

Jak włączyć funkcję filtrowania, pokazuje warsztat. Dzięki temu zabiegowi, nawet gdy haker włamie się do twojej sieci, nie będzie mógł korzystać z internetu na swoim komputerze. Oczywiście, dopóki nie złamie hasła administracyjnego routera i nie zmieni ustawień.

Kolejnym zabezpieczeniem jest wyłączenie serwera DHCP, czyli mechanizmu przydzielania adresów IP komputerom podłączającym się do sieci. Zamiast tego w panelu administracyjnym ustaw statyczne adresy IP i powiąż je z adresami MAC używanych komputerów. Jedyną niewygodą jest wpisanie stałego IP i DNS-ów w parametrach protokołu IP wszystkich komputerów, które przewodowo lub bezprzewodowo łączą się z konfigurowanym routerem. W Windows stosowne opcje znajdziesz w panelu właściwości karty sieciowej, w ustawieniach protokołu IPv4.

Hasło w bezpiecznym standardzie szyfrowania WPA nie może mieć mniej niż 8 znaków. Za hasło bardzo bezpieczne, które będzie odporne na atak słownikowy, uznaje się takie, które jest złożone z 13 zupełnie przypadkowych znaków z dopuszczalnej puli 95 znaków drukowanych ASCII, na przykład: ZJhaK8zZd5Ol(. Takie hasło można wygenerować online, np. na stronie http://absynth.pjwstk.edu.pl. Jeśli nie chcesz dręczyć pamięci idealnym hasłem, wymyśl własne, łatwe do zapamiętania, ale zadbaj, by była w nim przynajmniej jedna cyfra, jedna duża litera i jeden inny znak (np. PC^Format^11). Siłę własnego hasła możesz przetestować w serwisie Microsoftu http://pcformat.pl/u/150 (patrz ilustracja).

Jeśli chcesz sprawdzić, kto podkrada ci łącze, możesz pobawić się w detektywa, ale wymaga to trochę zachodu. W uproszczeniu:

1. Kup na Allegro stary hub ethernetowy, który różni się od nowoczesnego przełącznika (switcha) tym, że nie kieruje pakietów danych przesyłanych w sieci do określonego portu, tylko rozsyła je do wszystkich portów.
2. Do jednego portu w hubie podłącz bezprzewodowy punkt dostępowy z wyłączonymi zabezpieczeniami, do drugiego podłącz komputer.
3. Zainstaluj program do monitorowania sieci Wireshark (www.wireshark.org), który może pracować w trybie przechwytywania całego ruchu, docierającego do adaptera sieciowego w komputerze.
4. Po włączeniu przechwytywania będziesz mógł sprawdzić w logach, jakie komputery łączą się z twoją otwartą siecią. Poznasz ich IP oraz nazwę sieciową, po której – przy odrobinie szczęścia – zorientujesz się, kto kradnie ci łącze.

Na przykładzie panelu administracyjnego routera firmy D-Link pokażemy, jak skonfigurować urządzenie, by poprawić zabezpieczenie sieci bezprzewodowej. Układ panelu w modelach innych producentów wygląda inaczej, ale znajdują się w nich takie same opcje.

Po zalogowaniu się do panelu administracyjnego kliknij w bocznym menu przycisk Wireless. Z listy Security wybierz opcję WPA-PSK, następnie w polu Preshare Key wpisz silne hasło i zapisz zmiany, klikając przycisk Apply. W taki sam sposób potwierdzaj wszystkie modyfikacje opisane w kolejnych krokach warsztatu.

Kliknij zakładkę Tools w górnym menu, by przejść do miejsca, gdzie można zmienić hasło administracyjne. W polu Old Password podaj dotychczasowe hasło, a w polach New Password oraz Confirm Password wpisz nowe silne hasło.

Z górnego menu wybierz zakładkę Advanced i po lewej stronie kliknij przycisk Performance. Następnie znajdź opcję rozgłaszania nazwy sieci SSID broadcast i zaznacz przy niej opcję Disable.

Aby włączyć funkcję filtrowania adresów MAC, pozostań w zakładce Advanced i kliknij przycisk Filter z lewej strony. Po wczytaniu odpowiedniej karty panelu administracyjnego zaznacz opcję MAC Filters.

Teraz zaznacz opcję Only allow computers with MAC address listed. Ograniczy ona dostęp do sieci wyłącznie do komputerów z adresami MAC, które zaraz zdefiniujesz. Jeśli łączyłeś się wcześniej z routerem z komputera, który masz zamiar autoryzować w sieci, z listy DHCP client wybierz jego nazwę, np. swojego laptopa, i naciśnij Clone.

Potwierdź zmianę, klikając Apply, i powtórz zabieg dla wszystkich komputerów, jakich chcesz używać w sieci. Pamiętaj, że jeśli łączysz się z routerem przez smartfon z Wi-Fi, telefon także musisz w ten sposób autoryzować. Jeśli jakiegoś urządzenia nie ma na liście, wpisz jego MAC i nazwę ręcznie, odpowiednio w polach MAC address i DHCP client.

Kliknij zakładkę Home, a po lewej stronie panelu przycisk DHCP. Teraz możesz wyłączyć serwer przydzielający automatycznie adresy IP i ustawić statyczne adresy dla wszystkich swoich komputerów. W tym celu dla opcji DHCP Server zaznacz pole Disabled.

W sekcji Static DHCP wybierz opcję Enabled, następnie z listy DHCP Client wybierz swój komputer i naciśnij Clone. Parametry maszyn, których nie ma na tej liście, podaj w polu MAC Address i Name. W polu IP Address podaj adres, z jakiego ma korzystać twoja maszyna. Teraz pozostaje wpisać przydzielony adres w ustawieniach protokołu IP w systemie Windows.