Wi-Fi betolakodó-elhárítás - Vezeték nélküli hálózati tippek

22 március 2012
Közzétette Gs Informatika Kft.

A vezeték nélküli hálózatok előnye, hogy SOHO (kisirodai-otthoni) környezetben olcsón, egyszerűen hozhatók létre. Óriási hátrányuk, hogy ugyanilyen nehéz megvédeni őket az illetéktelen behatolóktól.

Lassan bekövetkezik, hogy Magyarországon is több noteszgépet adnak el, mint asztalit, és ma már nincs olyan hordozható PC, amelynek ne lenne alapáras extra tartozéka a vezeték nélküli hálózati vezérlő. Éppen ezért SOHO környezetben gyakori és érthető igény, hogy ne kelljen vezetékekkel babrálni, és Wi-Fi-s internetátjárót telepítsenek. Az ilyen átjárók olcsók, és egyszerű őket konfigurálni. Éppen ezért nagyon könnyű velük internetelérést szolgáltatni az utcán, vagy - rosszabb esetben - megnyitni a belső hálózatunkat mindenki számára, ugyanis a Wi-Fi hálózathoz alapértelmezett beállításként nem használnak semmiféle védelmet.
Mivel SOHO környezetben gyakran a rendszergazdai feladatokat az IT-ügyekben legtájékozottabb(nak tűnő) kolléga tölti be, úgy gondoltuk, érdemes összegyűjtenünk a legfontosabb, alapvető tanácsokat egy Wi-Fi hálózat konfigurálásához, hogy legalább a kevésbé elszánt betörőket távol tarthassuk.

Javítócsomagot neki!
A megjelenése után ennyi idővel kicsit félve írjuk le a Windows XP felhasználónak azt a nagyon egyszerű tanácsot, hogy mindenképpen telepítsék legalább a második javítócsomagot (SP2-t)! Bízunk benne, hogy az XP már nem működik senkinél sem úgy, hogy ez a javítás ne lenne telepítve, de ki tudja? A lényeg: a Wi-Fi-vel kapcsolatos részt teljesen átírták a Microsoftnál az SP2 kiadásakor. Természetesen az SP3-ban ugyanezek a frissítések benne vannak.
Azon túl, hogy a kezelőfelület megváltozott, sokkal áttekinthetőbb és kezesebb lett, mi sokkal gyorsabbnak is érezzük, amikor noteszgépünk egy ismeretlen hálózathoz csatlakozik. Mintha érzékenyebb is lenne - olyan hálózatokkal is kommunikál, amelyeket régebben alacsony jelerősségük miatt csak nagy szenvedések árán lehetett összebeszéltetni. De ami sokkal fontosabb: az operációs rendszer az SP2 után számos titkosítási algoritmust is kezel már. Hogy ez miért kritikus fontosságú, arra az alábbiakban részletesen is kitérünk.

Titkosítsunk!
Vitán felül áll, hogy a Wi-Fi-t élvezet használni. Egy internet hozzáférést megosztani, egy átjárót konfigurálni sem igazán bonyolult, de mindegyiknek van egy óriási hiányossága: alaphelyzetben a rádiós adatforgalom teljes egészében "lehallgatható" bárki által, és bárki csatlakozhat hálózatunkhoz, aki hatósugáron belül tartózkodik a Wi-Fi-képes PC-jével.
Azt tapasztaljuk, hogy nagyon sokan rálegyintenek a titkosítás kérdésére, mint valami felesleges piszmognivalóra, mondván: Ugyan már, semmi fontosat nem forgalmazok Wi-Fi-n keresztül, mi bajom lehet? Nos, már abból is probléma adódhat, ha az utcának szolgáltatunk internet hozzáférést, de nem valószínű, hogy hívatlan látogatónk megelégszik ennyivel.
Tegyük fel, hogy nem törik fel a gépünket, nem nyúlják le az adatainkat - hozzátennénk, nem lesz ilyen szerencsénk, mert egy belső hálózatról ez aztán végképp nem nehéz -, de elég bajunk lehet abból, hogyha pont a mi hozzáférésünket felhasználva visznek véghez valamilyen disznóságot.
Azt, hogy milyen titkosítást tudunk használni, a rendelkezésünkre álló hardver szabja meg. Feltételezve a leggyakoribb topológiát - tűzfallal egybeépített átjáró, hagyományos vezetékes hálózaton és Wi-Fi-n keresztül csatlakozó kliensek - a legkritikusabbak az átjáró képességei. Azt javasoljuk, hogy ne legyünk restek, vegyük elő az átjáró dokumentációját, és mélyedjünk el abban, hogy az milyen titkosítási eljárásokat ismer. Sajnos a beállítások elvégzéséhez konkrét tanácsot nehéz adni, hiszen ahány gyártó, annyiféleképpen alakítják ki a vonatkozó menüket, így az egyetlen segítségünk leggyakrabban a leírásban merül ki.
Az azonos gyártótól származó eszközök általában ugyanazokat a protokollokat támogatják, de érdemes lehet utánanéznünk a gyártó weboldalán, hogy van-e frissebb beágyazott program (firmware) annál, ami a mi készülékünkben van, mert gyakran a frissítések pont a biztonsági szabványokat érintik. Az sajnos tény, hogy a kellő türelemmel és idővel rendelkező, képzett netkalóz képes átjönni a Wi-Fi védelmeken, de magunknak teszünk szívességet, hogyha legalább a lelkes amatőr betyárokat kizárjuk. (Nézd, apa! Látok egy idegen hálózatot!)

WEP-et vagy sem?
Az a titkosítás, amely minden Wi-Fi eszközben megtalálható, a WEP. Viszont pont emiatt támadják azzal az egész Wi-Fi technológiát, hogy viszonylag könnyen feltörhető védelemmel van ellátva. Természetesen a 64 vagy 128 bites kódolású WEP jobb, mint a semmi, de ha átjárónk más kódoló algoritmust is ismer, akkor inkább válasszuk azt. Pontosan hogy is fest az az egész a bitekkel?
A WEP hexadecimális kulcsokat használ, azaz betűk és számok "keverékét", A-tól F-ig, illetve 0-tól 9-ig. A 64 bites kódolás 5 darab kétjegyű hexadecimális számot használ, a 128 bites 13 kétjegyűt. (Példa a 64 bites kulcsra: AF 0F 4B C3 D4. Példa a 128 bites kulcsra: C3 03 0F AF 0F 4B B2 C3 D4 4B C3 D4 E7.) Azt a kulcsot, amit az átjárónknál megadunk, a hozzáférés konfigurálásakor, majd a hozzá kapcsolódó összes kliensnél is meg kell adnunk. Eddig még nem is lenne bonyolult a dolog, de vannak bizonyos buktatók. Egyes gyártók átjáróiknál a decimális WEP kulcs használatát is engedélyezik. Anélkül, hogy túlbonyolítanánk a dolgot: célszerű a fentiek szerinti hexadecimális kódolást választani, már csak azért is, mert azt nehezebb visszafejteni, hiszen lényegesen több szóba jöhető elemből áll, mint a decimális.
A példaként felsorolt számokra mindent rá lehet fogni, csak azt nem, hogy könnyű őket fejben tartani, vagy papírról visszapötyögni minden gépnél, ezért sok gyártó beépít az átjárójába egy kulcsgenerátort, amely egy általunk beírt karaktersorozatból - praktikusan szóból - generál egy kulcsot. Csak akkor van értelme ezt a szógenerátort használni, hogyha a hálózatunk összes eleme ugyanattól a gyártótól származik, mert akkor a többi eszközhöz mellékelt meghajtó programokban is jó eséllyel megtaláljuk ugyanezt a kulcsgenerátort, és tényleg elég fejben tartani egy meg is jegyezhető kódot.
Azt tudnunk kell, hogy az operációs rendszer a valódi WEP kulcsot fogja kérni, amit a meghajtó majd eljuttat hozzá. Ha nincs ilyen szolgáltatás a többi eszközünk driverében, akkor persze mit sem érünk vele. A 64 bites kódolás rögvest négy kulcs generálására ad módot. Az az alapértelmezett, hogy az elsőt használják az eszközeink. Ha ettől eltérünk, akkor azt külön be kell állítani az átjáró konfigurációs felületén, illetve a csatlakozó eszközöknél is értelemszerűen az általunk preferált kulcsot kell megadni.
Mégegyszer hangsúlyoznánk: A WEP a titkosítás legalacsonyabb szintű minimuma, ezt csak akkor alkalmazzuk, ha a hálózatunk valamelyik eleme régi és nem ismer fejlettebb titkosítást, így csak a végső esetben használjuk, de legalább ezt használjuk!

Nevében a végzete
Sok gyártónál az alapértelmezett SSID - a vezeték nélküli hálózat azonosítója - megegyezik a gyártó nevével. Ezt érdemes már az első installáláskor megváltoztatni. Hogy miért? Nos, egyes autóriasztó-gyártók kis matricákat mellékelnek termékükhöz, hogy a szélvédőre ragasztva azok fennen hirdessék: ezt a járművet bizony riasztóval védik. Viszont ha rajta van a gyártó neve - márpedig ott virít -, akkor abban is segítenek, hogy az autó tolvaj első ránézésre tudja: ki tud fogni a szerkezeten, vagy nem érdemes próbálkoznia. Nos, az árulkodó SSID pont ilyen felhívás lehet egy táncra az adat tolvajnak. Persze az is megérne egy pszichológiai szakdolgozatot, hogy milyen SSID-tól látszunk kevésbé vonzó célpontnak - "Kovacsek", vagy "KGB".

Rendszám-azonosítás!
Minden hálózati eszköznek - vezetékes vagy Wi-Fi - van egy, csak arra a darabra jellemző MAC címe (Media Access Control - Média Hozzáférés Vezérlés). A legtöbb átjáró képes rá, hogy az ilyen fizikai cím - mintegy rendszám - alapján szűrje a hálózathoz való hozzáférést. Ez persze nem váltja ki a titkosítást, de pompásan kiegészíti! Ha tud ilyet az átjárónk, akkor érdemes használni, hiszen megéri a fáradságot az egy-két hálózati eszköz "rendszámának" a bepötyögése, ami az otthoni hálózatunkhoz csatlakozhat.
Hogyan tudjuk meg a MAC címet? Sok átjáró bír azzal a kényelmi szolgáltatással, hogy képes felsorolni a csatlakozott illesztők címét, de ha nem így lenne, akkor azt mi is könnyen megtudhatjuk. A csatlakoztatásra váró, Windows XP-t, Vistát vagy Windows 7-et futtató gépen nyissunk egy parancssor ablakot, majd írjuk be az ipconfig /all parancsot. A Fizikai cím kezdetű sor végén megtaláljuk az illesztő címét.

Wi-Fi hálózat konfigurálás négy lépésben
Mint ahogy azt már említettük, nagyon nehéz általános érvényű tippeket adni a WEP konfigurálásra, mert ahány gyártó, annyiféleképpen alakítja ki az erre szolgáló menüt. Az itt bemutatott módszer azonban, reméljük, segíthet.

1. Alapbeállítások
A legtöbb gyártó kitűnő, lépésről lépésre útmutatót mellékel, igyekezzük ezt használni. Az első lépésben az átjárónknak a külvilággal való kommunikációját állítsuk be. Például ADSL hozzáférés esetén a felhasználónevünket és az összes többi PPPoE protokoll-beállítást, amit megkaptunk internetszolgáltatónktól. Ha egy meglévő hálózatot szeretnénk egy hozzáférési pont segítségével "wifisíteni", akkor az IP-címre lesz szükség. Érdemes rögvest ellenőrizni, hogy a Wi-Fi hálózaton kommunikáló eszköz így, tehát még mindenféle titkosítás nélkül, képes-e kimenni az internetre.

2. Titkosítás, első lépcső
Változtassuk meg az SSID-t a gyárilag beállítottról valami nekünk tetszőre. Talán mondani sem kell, hogy azon nyomban ellenőrizzük is a beállítást egy vezeték nélkül csatlakozó eszköz segítségével. Ha minden rendben, akkor vizsgáljuk meg, hogy melyik a legfejlettebb titkosítási protokoll, amelyet hálózatunk minden vezeték nélkül csatlakozó eleme ismer, és azt használjuk (WPA2-PSK). Amit biztosan kezelni fog minden készülékünk, az a WEP, tehát jobb híján alkalmazzuk legalább ezt. A leírtak szerint állítsunk be egy 128 bites kulcsot, és jegyezzük fel. Adjuk meg ugyanezt a kulcsot a próbára használt gépnek, és ismét ellenőrizzünk!

3. Titkosítás, második lépcső
Amennyiben az átjárónk lehetőséget ad rá, szűrjük a csatlakozni engedett Wi-Fi eszközöket a MAC címük alapján. Egyes modellek képesek megmutatni, hogy a már kommunikáló eszközök milyen "rendszámmal közlekednek", és a listából választhatunk, hogy melyiket engedjük fel, és melyiket tiltjuk. Ha nem így lenne, akkor kénytelenek leszünk minden gépnél manuálisan ellenőrizni a MAC címet, és kézzel felvinni azt a listába. Természetesen ismét fontos ellenőrizni, hogy minden rendben van-e.

4. Zárjuk be az ajtót!
Minden hozzáférési pont és átjáró konfigurációs felülete jelszóval védhető. Utolsó lépésként - miután meggyőződtünk arról, hogy minden úgy működik, ahogy azt szeretnénk - "zárjuk be magunk után az ajtót", azaz vezeték nélküli hálózatunk agyközpontjából rekesszük ki az illetéktelen belépőket. A beállított jelszó csak rajtunk múlik - bár némelyik eszköz ragaszkodik bizonyos minimális karakterszámhoz -, no meg az is rajtunk áll, hogy azt később se felejtsük el!

Biztonsági lánc a zárak mellé?
Ha már minden működik, akkor megpróbálkozhatunk még egy pár extra lépéssel, hogy picit nagyobb biztonságban érezzük magunkat. A legtöbb átjáró képes arra, hogy ne "kiáltsa bele a csendbe" időről-időre: itt bizony egy Wi-Fi hálózat működik. Keressünk egy "Broadcast SSID", vagy ehhez hasonló nevű funkciót. Ha a szóban forgó szolgáltatást kikapcsoljuk, akkor a már csatlakozott gépek bizonyosan megtalálják a hálózatot, de az újonnan csatlakozni akaró eszközök egyáltalán nem találják meg a működő hálózatot. Ha állandóan ugyanazok az eszközök csatlakoznak a Wi-Fi-n keresztül, akkor érdemes használni, hiszen a nem kívánt vendégek elől kissé jobban rejthetjük a hálózatunkat. Ha cserélődik a rádiós hálózathoz csatlakozó gépállomány, akkor természetesen jobb nem letiltani ezt a lehetőséget.
Ha az átjáróhoz csatlakozik valamilyen eszköz hagyományos, vezetékes hálózaton keresztül, akkor érdemes megtiltanunk, hogy a Wi-Fi hálózat felől elérhető legyen az átjáró konfigurációs felülete. Ezzel elkerülhetjük, hogy a hívatlan vendégek esetleg kizárjanak minket a saját átjárónk konfigurációs felületéből. (Sajnos arra nem tudunk általánosan működő tippet adni, hogy ezt a pontot hol és hogyan találjuk meg az átjárók menüjében.)
Végezetül egy olyan tipp, amely a vezetékes hálózaton keresztül csatlakozó gépeket is érinti: a legtöbb SOHO hálózat dinamikusan generált IP-címeket használ, és ezeket az átjáró DHCP szolgáltatása generálja a csatlakozó gépeknek. Érdemes megváltoztatni az alapértelmezett tartományt - mely a legtöbb átjárónál a 192.168.1.x -, és az átjáró alapértelmezett címét is - mely általában 192.168.1.1 vagy 192.168.1.254 -, ugyanis a behatolók elsőnek ezekkel a címekkel próbálkoznak majd.

Szótár
- Firmware (Beágyazott program):
A csak olvasható memóriában (ROM) tárolt program, mely a különböző számítástechnikai eszközök alapvető működéshez szükséges, azok tudását alapvetően befolyásolja.

- MAC address (Media Access Control):
Szószerinti fordításban Média Hozzáférés Vezérlés. A gyakorlatban a hálózati eszközök egyedi azonosításra használható rendszáma - függetlenül attól, hogy azok vezeték nélküli, vagy vezetékes kivitelűek.

- SSID (Service Set Identifier):
Szószerinti fordításban Szolgáltatási Készlet Azonosító, de gyakorlatilag az általunk létrehozott vezeték nélküli hálózat neve.

- WEP (Wired Equivalent Privacy):
A nevében foglalt ígérettel szemben - Vezetékessel Egyenértékű Biztonság - a Wi-Fi világában ez a biztonsági protokoll igazi mostohagyerek, sokan kritizálják relatíve könnyű feltörhetősége miatt.

- Wi-Fi (Wireless-Fidelity):
A szószerinti fordítás Vezeték nélküli (hangzás)hűség, ám ez természetesen pont olyan butaság, mint amilyennek első olvasásra hat. Nem tudni, hogy a tyúk volt előbb, vagy a tojás, nagy valószínűséggel valakik alkottak egy jópofa, jól hangzó rövid nevet, amibe aztán később magyarázták bele a jelentést.
A valóságban a Wi-Fi Szövetség (www.wi-fi.org) egy nonprofit, nemzetközi szerveződés, melyet 1999-ben azért hoztak létre, hogy az IEEE 802.11 specifikációnak megfelelő, vezeték nélküli hálózati eszközök egymással való együttműködését vizsgálja, és erről tanúsítványokat készítsen. A fentebb említett szabványnak megfelelő termékek Wi-Fi logót kapnak - és azt büszkén viselik a csomagolásukon -, így rajtuk maradt ez a név. Összefoglaló jelleggel Wi-Fi-nek szokás hívni minden vezeték nélküli hálózati eszközt.

További cikkek