Zabezpieczanie sieci bezprzewodowych

Postaraj się o uaktualnienie oprogramowania firmware

Jedynie najnowsze urządzenia WLAN już w chwili dostawy obsługują WPA. Jeżeli twój sprzęt ma już kilkanaście miesięcy, postaraj się o uaktualnienie wbudowanego oprogramowania i zmodernizowane oprogramowanie konfiguracyjne. Użytkownikom Windows XP radzimy również zainstalowanie poprawki Rollup Package dla połączeń bezprzewodowych, która eliminuje niektóre problemy i błędy pierwszej implementacji WPA (http://suport.microsoft.com/?kbid=826942 ).

Punkty dostępowe z obsługą WPA oferują ponadto tzw. Mixed Mode, który umożliwia pracę w sieci zarówno klientów WPA, jak i WEP. Pamiętaj jednak, że w takim przypadku poziom bezpieczeństwa całej sieci spada do poziomu WEP. Taki tryb pracy należy traktować jako przejściowy i jak najszybciej doprowadzić wszystkie urządzenia do poziomu WPA.

Własna nazwa sieci chroni - SSID

Wszystko ma swoją nazwę, a więc i sieć WLAN. Aby nawiązać kontakt z siecią WLAN, musisz znać SSID (Service Set Identifier). Kto nie zna SSID, nie włączy się do sieci. Niestety, niemal wszystkie punkty dostępowe WLAN są ustawione fabrycznie tak, że akceptują jako nazwę sieci "any" (dowolna) albo też przeciwnie - wysyłają tę nazwę swobodnie w świat. To tak, jakby stacja bazowa wysyłała do każdego notebooka, który przypadkiem znajdzie się w pobliżu, następujący komunikat: "Hej, tu jest supersieć WLAN. Zajrzyj do nas. Nazywam się "DEFAULT." Każdy producent ma nieco odmienny sposób postępowania. Niektórzy stosują "any", inni wysyłają nazwę sieci do otoczenia, niektórzy robią jedno i drugie. Bywają też jeszcze inne kombinacje.

Wyłącz rozsyłanie

Powinieneś zatem wykonać jak najszybciej dwie czynności. Aby przynajmniej utrudnić potencjalnym intruzom wtargnięcie do sieci, wyłącz raz na zawsze funkcję rozsyłania nazwy sieci. W większości punktów dostępowych jest to bardzo proste; wystarczy zaznaczyć odpowiednią opcję w konfiguracji. Najczęściej nazywa się ona "Sieć zamknięta" lub podobnie.

Korzyść jest taka, że odtąd uzyskanie dostępu do sieci wymaga znajomości jej dokładnej nazwy. To znacznie utrudni życie osobnikom zwanym War Driver, czyli hakerom wyposażonym w notebooki, przemierzającym okolicę w poszukiwaniu otwartych sieci WLAN (zob. artykuł "Zagrożenia w sieci WLAN" na str. 20).

Zmień nazwę sieci

W drugim kroku powinieneś bezwzględnie zmienić nazwę sieci. Wielu producentów punktów dostępowych ustawia w swoich urządzeniach zawsze tę samą, łatwą do zapamiętania nazwę.

W produktach amerykańskich i azjatyckich można na przykład bardzo często znaleźć nazwę "Default" (domyślna). Czasami stosowana bywa też nazwa producenta urządzenia; przykładem może być punkt dostępowy firmy Lancom. Najbezpieczniej jest usunąć fabryczny wpis już w trakcie konfiguracji i wybrać taki SSID, który nie będzie łatwy do odgadnięcia.

Skuteczna ochrona - adres MAC

Bardzo dobrą metodą przeciwdziałania intruzom w sieci jest kontrola dostępu za pomocą adresów MAC (Machine Access Code). Jest to numer seryjny, umożliwiający identyfikację każdej karty sieciowej, każdego punktu dostępowego i każdego komputera z kartą Ethernet lub WLAN na całym świecie.

Większość punktów dostępowych posiada opcję udostępniania sieci wyłącznie znanym, wprowadzonym wcześniej przez administratora, adresom MAC.

Totalna ochrona nie istnieje

Niewielką wadą tej metody jest to, że jest ona tym bardziej pracochłonna, im większa jest sieć. Każdy adres MAC składa się z dwunastopozycyjnego kodu szesnastkowego.

Nie to jednak stanowi zasadniczy problem. Znacznie gorzej przedstawia się fakt, że od pewnego czasu i ta metoda nie daje stuprocentowej ochrony. Dostępne jest oprogramowanie do kart PC WLAN, które umożliwia modyfikację fabrycznego kodu MAC. Jeżeli więc haker ustali, jakie adresy MAC dopuszczone są do komunikacji w sieci, może bez trudu podszyć się pod jeden z nich.

Proste - ogranicz zasięg

Bardzo pociągająca jest kolejna metoda zwiększenia bezpieczeństwa - ogranicz zasięg swojej sieci bezprzewodowej. To proste - nie można przechwycić czegoś, co nie wydostaje się na zewnątrz. Wiele punktów dostępowych posiada opcję regulacji mocy nadajnika lub kąta promieniowania. Dla przykładu, w urządzeniach firmy Lancom można podać wartość w decybelach, o jaką ma być stłumiony sygnał.

Wypróbuj zasięg

Zasięg sieci WLAN i skutki stłumienia o określoną liczbę decybeli musisz wypróbować eksperymentalnie. W tym celu weź notebooka, wyjdź przed dom, obejdź go dookoła i sprawdź w różnych miejscach siłę sygnału, którą pokazuje mały symbol na pasku zadań. Upewnij się, że notebook jest wyposażony w kartę o dużej czułości. Najlepiej zastosuj kartę z zewnętrzną, a nie zintegrowaną anteną. Metodą kolejnych prób uzyskaj stopniowo taką siłę sygnału, przy której możliwa jest dobra łączność wewnątrz domu, ale jednocześnie sygnał w jak najmniejszym stopniu przedostaje się na zewnątrz.

Tego rodzaju testy są konieczne nawet wówczas, gdy w oprogramowaniu konfiguracyjnym można ustalić maksymalny zasięg w metrach (w przypadku urządzeń Lancom w kilometrach). Tę wartość można traktować jedynie w kategoriach wartości przybliżonych - faktyczny zasięg w dużym stopniu zależy od przeszkód w rodzaju ścian czy szaf.

Niestety, ta metoda ma jedną wadę - nie da się uzyskać takiej sytuacji, że sąsiedzi mieszkający poniżej i powyżej w budynku wielorodzinnym znajdą się poza zasięgiem. Aby to uzyskać, musiałbyś tak silnie stłumić sygnał, że komunikacja w obrębie mieszkania stałaby się niemożliwa. Dlatego na koniec można zalecić jedyne rozsądne rozwiązanie - zastosuj w rozsądnych i możliwych granicach wszystkie z opisanych tu zabezpieczeń.