Absolutno varnost je pri brezžičnih omrežjih skoraj nemogoče zagotoviti. Radijski valovi se pač širijo po zakonih fizike, kar pomeni, da se pretakajo tudi onstran zidov našega fizično varovanega področja. V omrežno opremo vgrajeni varnostni mehanizmi in ukrepi v najboljšem primeru le otežujejo proces vdora v omrežje, vsekakor pa ga ne preprečujejo v celoti. Zato je priporočljiva uporaba več dopolnjujočih se varnostnih mehanizmov hkrati, saj se s tem delo hekerjem precej oteži.
Med njimi priporočamo uporabo lastnega (ne tovarniško nastavljenega) imena omrežja (SSID) ter omejevanje oddajanja imena omrežja (če napadalec ne pozna imena omrežja, se vanj tudi ne more povezati). Kot je vidno iz tabele pogostih imen SSID, ki smo jih zaznali v letošnjem skeniranju, je takih omrežij kar 395, oziroma dobrih 6,6%.
Dodatna prepreka je tudi filtriranje fizičnih naslovov uporabnikov (MAC). To je sploh preprosto uporabiti doma, saj imamo navadno le nekaj wi-fi naprav. Preprosto pogledamo MAC-naslov vsake izmed njih ter jih v upravljalnem vmesniku dostopne točke dodamo na seznam dovoljenih.
In seveda ne nazadnje, treba je vključiti šifriranje prometa, če se le da WPA2. Izberemo šifrirnik AES-256 oz. CCMP ter smo zelo pozorni pri izbiri gesla. Ker je treba geslo v naše naprave vpisati navadno le enkrat, je lahko to dolgo in nezapomljivo. Priporočljivo je, da izberete geslo dolžine nad 50 znakov, kjer uporabljate tako velike kot male črke, številke in kombinacije različnih simbolov/znakov.
Verjetnost vdora v tako zaščiteno omrežje je bistveno manjša, saj vključuje proceduro priprav in mesece trdega in namenskega/naklepnega dela. Poslovnim uporabnikom, ki zahtevajo absolutno varnost, ne preostane drugega kot naštete mehanizme varnosti v dostopnih točkah dopolniti še z ločenimi drugonivojskimi mehanizmi zaščite, kot so navidezna zasebna omrežja (VPN), vmesne požarne pregrade, overjanje prek enkratnih gesel oz. certifikatov …
KAKO JE V SVETU
Globalni trend gre v smer zapiranja omrežij, v smer zaščite in šifriranja prometa. Tako lokalno kot globalno so številke z ozaveščanjem javnosti glede varnosti iz leta v leto boljše. Glede na naše podatke iz 2004, ko je bilo razmerje med odprtimi in zaščitenimi omrežji 50 : 50, se je to pri nas bistveno popravilo, saj je zdaj razmerje 86 : 14 v prid zaščitenih (če pa med odprte štejemo še WEP, je to 71 : 29).
Glede na javno dostopne številke razmerja v tujini vidimo, da smo kar dobri. Odprta omrežja pa so predvsem priljubljena in dobrodošla na Tajskem.
Kakšno brezžično opremo uporabljamo?
Na lestvici najpogosteje rabljene omrežne opreme na strani dostopne točke je prvo mesto prevzel Linksys (del koncerna Cisco), takoj za njim pa je Netgear. To jasno nakazuje, da so wi-fi za svojega vzeli končni uporabniki/potrošniki, saj je Cisco kot vodilni izpred šestih let ostal v zgornjem cenovnem razredu, torej v opremi za podjetja. Zanimiv je padec D-Linka, kar je škoda, ker ima podjetje solidne izdelke. Hkrati pa je prav Netgear s šestnajstimi odstotki pri potrošniški opremi zgradil svojo prisotnost pri nas – prej ga ni bilo.
Drugi pogosteje prisotni proizvajalci so še TP-Link, Belkin, Edimax, Level One, Buffalo, ASUS; zavoljo v širokopasovne modeme vgrajenega wi-fija pa najdemo tu še Thompson Telekom (v Amisovih SpeedTouchih), Xavi (Iskratel Sinope) in Z-Com (Iskratel Prospero) ter Rockus Wireless (brezžičen prenos TV-signala) ... Kot v preteklosti tudi zdaj pri dobrih 11 odstotkih nismo zaznali proizvajalca omrežne opreme.
Ime omrežja SSID
Ime omrežja ali SSID je vrednost, ki naprave povezuje v skupino. Najvarnejše je zakrito oddajanje SSID. Takih je bilo leta 2004 18,23 % vseh zaznanih omrežij, letos pa le še 6,6 % (395).
Nasveta, da je treba za večjo varnost vedno spremeniti ime SSID, očitno mnogi ne jemljejo resno. Leta 2004 smo najpogosteje tovarniško nastavljen SSID »default« zaznali v 8 % primerov, letos sicer le v 1,7 %, a različni proizvajalci so privzete nastavitve malce spremenili, in če bi prišteli še Linksys in Netgear ter Belkin, TP-Link in druge, bi bili krepko čez 14 %.
Priporočeno je da vrednost vsake toliko SSID spreminjamo, nikoli pa naj vrednost ne odraža imena podjetja ali vaše ime, kaj šele priimek ali naslov. Ne pozabimo, da je najnevarnejša tovarniška nastavitev, saj namiguje, da so tudi druge nastavitve (gesla za uporabljanje z dostopno točko) nespremenjena.
Moj mikro, Julij Avgust 2010 | Jaka Mele |
