Poradnik sieciowy. Część 11 - Jak być bezpiecznym w sieci
- SPIS TREŚCI -
Bezpieczeństwo sieci Wi-Fi
Obszarem, od jakiego rozpoczniemy wędrówkę po zagadnieniach związanych z bezpieczeństwem sieciowym jest ten, do którego aspektów wielokrotnie już odwoływaliśmy się w całym cyklu poradników sieciowych, czyli sieć Wi-Fi. Musiało to w końcu nastąpić, bowiem udało nam się umówić chyba wszystkie najważniejsze z punktu widzenia domowego użytkownika aspekty sieci bezprzewodowej, z wyjątkiem właśnie bezpieczeństwa. Pora zatem nadrobić zaległości ;)
1. Stosowanie szyfrowania sieci Wi-Fi.
Otwarty dostęp do jakiejkolwiek sieci Wi-Fi to w zasadzie najpoważniejszy błąd, jaki można popełnić podczas konfiguracji tej funkcji routera. Jeśli z naszą siecią połączy się osoba o złych zamiarach, to na nic zdadzą się wszelkie inne zabezpieczenia, typu zapory sieciowe czy protokół HTTPS. To tak, jakbyśmy otworzyli drzwi naszego domu na oścież – konsekwencje mogą być naprawdę dotkliwe. Dla chcącego w takiej sytuacji nic trudnego – raczej kwestią czasu będzie, gdy ktoś zacznie grzebać w ustawieniach routera, czy wykonując atak typu man-in-the-middle (dla ciekawych – np. SSLSplit lub SSL Strip) podsłuchać szyfrowaną za pomocą HTTPS transmisję danych. Na szczęście, chyba wszystkie dostępne na rynku urządzenia domyślnie aktywują najlepszy na chwilę obecną mechanizm szyfrowania sieci Wi-Fi – WPA2-PSK, prosząc jedynie podczas pierwszej konfiguracji o podanie klucza – hasła dostępowego. Co ważne, zmieniamy hasło domyślne. Jeśli nie dysponujemy w sieci serwerem RADIUS, z innych, a więc WPA czy (o zgrozo) WEP nie korzystamy. Od dawna nie są to bezpieczne mechanizmy zabezpieczeń sieci Wi-Fi, które da się stosunkowo łatwo ominąć.
![Poradnik sieciowy. Część 11 - Jak być bezpiecznym w sieci [10]](https://www.purepc.pl/image/artykul/2018/03/06_poradnik_sieciowy_czesc_11_jak_byc_bezpiecznym_w_sieci_9_b.png)
2. Wyłączenie WPS.
O potencjalnym zagrożeniu ze strony aktywnego protokołu WPS już pisaliśmy w piątej części cyklu naszych poradników sieciowych. Funkcja ta nie jest bez wad i stosować ją należy w ściśle kontrolowanych warunkach, i to jedynie za pośrednictwem przycisku na routerze. Włączanie uwierzytelniania za pomocą kodu PIN sobie powinniśmy darować, gdyż otworzymy wtedy furtkę do potencjalnego ataku siłowego (brute-force), który na tym ośmiocyfrowym kodzie da się bardzo łatwo przeprowadzić.
Poradnik o sieciach komputerowych. Część 5 – Funkcje routerów
![Poradnik sieciowy. Część 11 - Jak być bezpiecznym w sieci [9]](https://www.purepc.pl/image/artykul/2018/03/06_poradnik_sieciowy_czesc_11_jak_byc_bezpiecznym_w_sieci_8_b.jpg)
3. Wyłączenie niewykorzystywanych pasm radiowych.
Jeśli przykładowo korzystamy wyłącznie z sieci 2.4 GHz warto wyłączyć całkowicie w routerze pasmo 5 GHz (o ile oczywiście funkcja ta jest dostępna). Unikniemy wtedy nie tylko wprowadzania niepotrzebnego „szumu” sieciowego, potencjalnie zakłócającego transmisję innym (bardziej znaczące w przypadku sieci 2.4 GHz), ale też zmniejszamy prawdopodobieństwo popełnienia błędu przy konfiguracji. Owszem, większość routerów ustawia domyślnie takie samo hasło na obydwu pasmach w przypadku szyfrowania WPA2-PSK, jednak zawsze istnieje szansa, że albo to nie nastąpi, albo zwyczajnie my popełnimy błąd i z jakiegoś powodu zapomnimy bądź zrezygnujemy z zabezpieczeń dla drugiej sieci. A wtedy katastrofa gotowa.
4. Uaktywnienie sieci gościnnej.
Jeśli często zdarza się, że ktoś korzysta z naszego Wi-Fi okazyjnie, zamiast dawać mu hasło dostępu do głównej sieci, warto uruchomić dla niego, całkowicie odseparowaną sieć gościnną. Domyślnie, router pozwoli gościom połączonym z taką siecią najczęściej jedynie na komunikację z Internetem. Stanowi to pewien środek zabezpieczeń naszej głównej sieci przed konsekwencjami nieroztropnego korzystania z Internetu przez gości, ale też uchroni ją przed ich wścibskimi oczami ;) W razie potrzeby, w przypadku większości routerów da się skonfigurować dostęp do sieci LAN z poziomu sieci gościnnej.
![Poradnik sieciowy. Część 11 - Jak być bezpiecznym w sieci [3]](https://www.purepc.pl/image/artykul/2018/03/06_poradnik_sieciowy_czesc_11_jak_byc_bezpiecznym_w_sieci_2_b.jpg)
5. Stosowanie tzw. białych list (whitelists) klientów Wi-Fi.
Trzeba przyznać, że to zabezpieczenie może wydawać się nieco paranoiczne…Jeśli jednak w naszej sieci krążą wyjątkowo poufne dane i w jeszcze większym stopniu zechcemy ochronić ją przed niepowołanym dostępem, warto pokusić się o rozwiązanie zbliżone do tych, jakie często stosuje się w firmach – białe listy klientów, którym zezwala się na dostęp do sieci. Nie pomoże tu nawet znajomość hasła. Jeśli adres MAC komputera próbującego się dostać do sieci nie jest na liście „zaufanych”, AP nie zezwoli na połączenie. Mechanizm ten nie jest jednak idealny, gdyż adres MAC można bowiem dość łatwo sfałszować, a jeśli ktoś się postara, może poznać jeden z adresów zaufanych maszyn. Dlatego rozwiązanie to jest dobre, ale powinno być łączone z zabezpieczeniem pokroju NAC (Network Access Control), dlatego sprawdzi się ono najczęściej właśnie w środowiskach typu Enterprise.
Powiązane publikacje
Test routera TP-Link Archer BE800 - topowy przedstawiciel routerów Wi-Fi 7 w portfolio TP-Linka. Nowy standard na tle Wi-Fi 6
47
Test QNAP TS-432X - ciekawy pod względem sprzętowym serwer NAS z obsługą sieci 10 Gb/s oraz 2.5 Gb/s w standardzie
23
Test QNAP ADRA NDR - system zabezpieczeń sieciowych klasy NDR. Co to jest, jakie oferuje możliwości i jak działa w praktyce?
30
Test QNAP TS-216G - Korzystnie wyceniony NAS do domowego użytku z obsługą sieci 2.5GBASE-T oraz procesorem ARM
81
