Není daleko doba, kdy by se vám provozování nezabezpečené, nebo špatně zabezpečené bezdrátové sítě mohlo vymstít. Jde o úvahy, kdy by se každý, kdo provozuje bezdrátovou síť, mohl stát spolupachatelem trestného činu, kterého se dopustil ten, jemuž jste umožnili připojit se do své bezdrátové sítě. Určitě tedy není od věci, když se nyní zaměříme na otázku co nejdokonalejšího zabezpečení vaší bezdrátové sítě WLAN. Nezabezpečená bezdrátová síť WLAN je nebezpečná hned z několika pohledů. Vezměme si už jen fakt, že se do nezabezpečené sítě mohou dostat naprosto cizí uživatelé a tam mohou přistupovat k vámi sdíleným souborům. Pokud navíc mají počítače nebo síťové prvky obecně některou z již známých bezpečnostních trhlin, mohou se dokonce útočníci v nejhorším případě dostat i ke všem datům na pevném disku.
První díl článku naleznete zde: http://pcworld.cz/software/jak-dokonale-zabezpecit-bezdratovou-sit-wlan-1-10610
Druhý díl článku naleznete zde: http://pcworld.cz/hardware/jak-dokonale-zabezpecit-bezdratovou-sit-wlan-ii-10612
Potlačení vysílání názvu sítě WLAN (SSID)
Pokud nějaké bezdrátové zařízení v dosahu bezdrátového směrovače vyhledává dostupné bezdrátové sítě, pak tento směrovač standardně vysílá svůj název (SSID). Uživateli se pak například ve Windows v Místech v síti zobrazí názvy všech bezdrátových sítí v okolí, k nimž se lze připojit. Řada směrovačů má již z výroby přiřazen nějaký náhodný název, například WLAN-0F7H0E6GS8, někdy ale je to pouze název zařízení ("Fritzbox Fon WLAN 7270", ...), někdy se používá generické označení ("WLAN", ...). Mnozí provozovatelé bezdrátové sítě proto tento název mění na nějaký výstižnější, například "Petr-WLAN", nebo "hotel_WLAN".
Vysílání SSID se však dá úplně zakázat. Pak se bezdrátová síť v seznamu sítí počítače, který se chce připojit, buď vůbec neobjeví, anebo se zde objeví položka oznamující, že se jedná o neznámou bezdrátovou síť. K této síti se pak můžete připojit pouze tehdy, pokud toto SSID znáte a pokud jej správně zadáte. Řada bezdrátových zařízení ale má bohužel s potlačováním názvu bezdrátové sítě problémy.
Odborníci na problematiku bezdrátových sítí se již dlouhou dobu dohadují, zda má vůbec z pohledu zabezpečení systému nějaký smysl, vysílání SSID potlačovat. Vždyť se SSID stejně dá zjistit pomocí speciálních nástrojů pro odposlouchávání síťového provozu. Pravdou je to, že když už nic, pak alespoň potlačení vysílání SSID může odradit příležitostného útočníka od napadení vaší bezdrátové sítě, protože pro proniknutí do ní bude muset vynaložit daleko větší úsilí. V žádném případě by SSID nemělo ukazovat na účel použití bezdrátové sítě, název použitého směrovače, či název firmy.
Použití adresového filtru
Každé síťové zařízení používá naprosto jedinečný identifikátor v podobě hexadecimálního řetězce, tzv. MAC adresu, pomocí níž lze toto zařízení adresovat v síti. Tato adresa může vypadat třeba takto: 00:1C:4D:12:9A:A2. Tato MAC adresa představuje základ pro adresování na úrovni síťového protokolu, například prostřednictvím IP adresy. Bezdrátový směrovač umožňuje omezit přístup pouze na zařízení s určitou MAC adresou. Toto nastavení je u některých směrovačů dosti pracné, kromě toho se nejedná o žádný zvláštní prostředek pro zvýšení zabezpečení, neboť z technických důvodů se musí MAC adresa přenášet nešifrovaně, a navíc se dá zfalšovat. Útočník tedy může na základě záznamu síťového provozu povolené MAC adresy snadno odhalit a přeprogramovat svůj bezdrátový adaptér tak, aby používal právě některou z povolených MAC adres.
1. Zřízení adresového filtru
Chcete-li i přes výše uvedené nevýhody adresový filtr povolit, pak je nutno postupovat přesně podle návodu k vašemu bezdrátovému směrovači, protože závisí na každém z nich. Velmi jednoduše se filtr adres nastavuje například u zařízení Fritzbox. Zde totiž stačí pouze zadat názvy a MAC adresy všech zařízení, která budou smět do bezdrátové sítě přistupovat. Seznam těchto zařízení se opět nachází v pokročilých nastaveních v seznamu známých zařízení WLAN. Zde stačí tento seznam upravit a zatrhnout možnost pro povolení přístupu všech známých zařízení k bezdrátovému směrovači. Pokud později do sítě připojíte další zařízení, kterým budete chtít povolit přístup, pak stačí na chvíli jen přepnout bezdrátový směrovač do režimu pro povolení přístupu všech nových zařízení. Do seznamu zařízení se pak přidají MAC adresy a názvy všech nově přidaných zařízení. Samozřejmě další možností je přidání nového zařízení do seznamu ručně. Právě ruční přidání je často jedinou možností, kterou řada jiných bezdrátových zařízení disponuje. Tato zařízení však samozřejmě musíte nejprve identifikovat. Proto například u bezdrátových karet, zábavní elektroniky či dalších zařízení najdete identifikační údaje na štítku nalepeném přímo na tomto zařízení.
2. Zjištění MAC adres
O něco složitější je situace u bezdrátových čipů na noteboocích. Pokud na notebooku žádný štítek s identifikačními údaji nenaleznete, pak spusťte ve Windows příkazem CMD.EXE příkazový řádek, a to buď zadáním tohoto příkazu do políčka, které se objeví po klepnutí na tlačítko Start/Spustit (Windows XP), popřípadě tento příkaz zadejte do řádku pro vyhledávání (Windows Vista a 7). Do okna příkazového řádku pak zadejte příkaz ipconfig /all a v seznamu, který se objeví, pak vyhledejte sekci pro bezdrátové připojení. Onu MAC adresu pak najdete v řádku Fyzická adresa. Při zápisu této MAC adresy používejte namísto spojovníků dvojtečky (většinou jsou v konfiguraci bezdrátového směrovače dvojtečky již beztoho uvedeny předem).
Další díly článku naleznete na našem webu již brzy!
PŘEDPLATNÉ
ČLÁNKY DO MAILU