לרשת אלחוטית – WLAN בבית או בעסק יש יתרונות רבים, החל מחסכון בתשתית ועד לנגישות למשתמש – אין צורך בחיבור ישיר לנקודת גישה מסוימת ועקרונית אין הגבלה על מספר החיבורים. אך החיסרון המובהק של הרשת האלחוטית טמון גם הוא בנגישות שלה אשר זמינה לא רק לגורמים רצויים. בשונה מרשת חוטית או קווית שדורשת גישה לכבלים או שקעים בכדי להתחבר אליה, ברשת אלחוטית הנתונים (Packets) הנשלחים בין המחשבים בתוך הרשת הפנימית ובין המחשבים לרשת האינטרנט נעים באוויר, עובדה שהופכת אותם לזמינים לאנשים בעלי כוונות זדוניות, או כאלו המעוניינים להתחבר לרשת שלנו ותוך כדי כך להאט אותה. המידע הזה עשוי להיות קבצים, סיסמאות, שיחות בתוכנות מסרים מיידים כגון מסנג'ר, דואר אלקטרוני וכל מידע שמתקבל או נשלח ברשת. החשיבות של הנתונים הללו לנו, המשתמשים, עצומה ולכן מומלץ ואף רצוי לפעול בהקדם על מנת לאבטח את המידע האישי שלנו. המדריך נועד להסביר לכם אילו פעולות יש לבצע ומהן הסיבות העומדות מאחורי ביצוע פעולות אלו.
הפעולות בוצעו באמצעות מודם – נתב אלחוטי של HOT מדגם Ambit u10c019 (שם המשתמש: Admin והסיסמה: cableroot) אך רוב הפונקציות קיימות בכל סוגי הנתבים בוריאציה זו או אחרת.
5 פעולות בסיסיות אך חיוניות לאבטחת הרשת
אלו פעולות בסיסיות אך חיוניות על מנת להקשות על כל אלו המעוניינים לחדור לרשת האלחוטית שלנו או להשתמש בה באופן לא מורשה, כשלעצמן הן לא מגנות עלינו לחלוטין אך שילוב של כולן יחד עם הצפנה מבטיח לנו רמת אבטחה סבירה.
שינוי סיסמת Admin ברירת המחדל בנתב: רוב החברות המייצרות נתבים מגדירות סיסמת ברירת מחדל ל-Admin ולשאר המשתמשים לאזור בו מגדירים את אפשרויות ותכונות הנתב/הרשת. באמצעות חיפוש מהיר בגוגל אחר הוראות היצרן (User's Manual) של הדגם המסוים של הנתב ניתן למצוא את שם המשתמש והסיסמה שמוגדרים כברירת מחדל, במידה ולא שינינו את הפרטים האלו גורם חיצוני שהצליח להתחבר לרשת עלול "לשחק" לנו בהגדרות. נכנסים בתפריט העליון ל-Tools ובתפריט השמאלי ל-Passwords ומשנים את הסיסמאות של ה-Admin וה-User (רצוי לבחור בסיסמה משולבת אותיות ומספרים) ולוחצים Apply.
הפעלת חומת-אש (Firewall): מומלץ להתקין תוכנת
חומת אש בכל אחד מן המחשבים ברשת, עוד על כך תוכלו לקרוא
במדריך לאבטחת המחשב. ניתן גם להפעיל את חומת האש המובנית בנתב (במידה וקיימת) אך יש לכך השלכות על התנהלות הרשת, עלול לחסום תוכנות או פורטים מסוימים ולאו דווקא לתרום לאבטחת הרשת האלחוטית.
![]() |
כיבוי הנתב באי שימוש: כאשר הנתב כבוי והרשת לא פעילה לא ניתן לפרוץ אליו, לכן כאשר אתם נעדרים מהבית לתקופות ארוכות יחסית (כמה ימים ומעלה) רצוי לכבות את הנתב אך מומלץ לוודא שפעולה זו לא מאפסת את הגדרות הרשת, ברוב הנתבים ישנו כפתור המיועד לאיפוס וניתוק זרם החשמל לא אמור לשנות דבר בהגדרות הרשת. במידה ואתם משתמשים בתכונות האלחוטיות של הרשת בתקופות שונות, לדוגמה: כשבא אורח עם מחשב נייד, ובשאר הזמן אתם משתמשים רק בחיבורים חוטיים רצוי לבדוק אם ניתן לכבות רק האות האלחוטי של הרשת בין אם על-ידי מתג פיזי או באמצעות ממשק הניהול של הנתב.
מיקום הנתב בבית וכיוון עוצמת האות: רצוי להציב את הנתב במרכז הבית משתי סיבות, ראשית כל – כך המשתמשים זוכים לעוצמת אות גבוהה, מלבד זאת – הצבת הנתב קרוב לחלק החיצוני של הבית תביא לכך שהאות שלו ייקלט גם במקומות רחוקים – בניינים אחרים, רחוב וכו'. בחלק מן הנתבים ניתן גם לכוון את עוצמת האות, במידה ובכל האזורים הדרושים אתם זוכים לאיכות קליטה גבוהה רצוי להנמיך את עוצמת האות בשיטה של ניסוי וטעייה עד שתגיעו לעוצמה האידיאלית.
שינוי SSID ברירת מחדל וביטול שידורו – לא מומלץ: ה-SSID (ר"ת Service Set Identifier) הוא השם המזהה של הרשת האלחוטית שלנו, לכשעצמו גם אם גורם חיצוני יראה אותו לא תהיה לו גישה לרשת, למרות מה שנהוג לחשוב, הסתרת מזהה הרשת עלולה דווקא לפגוע באבטחה שלנו מכיוון שכך אנו מורידים את רמת האלגוריתם שמצפין את הרשת והופכים את הסיסמה (וההצפנה) לחשופה יותר לתקיפות "מילון" – Brute Force ולכן לא מומלץ לבטל את שידורו, כמו כן לשינוי שם הרשת אין משמעות במידה והמזהה לא מוסתר.
סינון על-פי כתובות MAC
ראשית כל, כתובת MAC (ר"ת Media Access Control) הינה ערך ייחודי לכרטיס הרשת שלכם (ולכל התקן רשת פיסי או ווירטואלי). מעיין תעודת זהות של החומרה אשר נקראת גם Physical Address והפורמט שלה נראה כך:
בגלל שכתובת זו ייחודית לכרטיס הרשת, במידה וישנם משתמשים ספציפיים הגולשים ברשת שלכם קיימת האפשרות להגדיר בנתב אישור התחברות כרטיסי רשת מסויימים. משמעות הדרך היא שרק משתמשים ספציפיים יוכלו לגלוש ברשת, דבר שעשוי לגרום לסרבול במידה ואתם מעוניינים לאפשר גישה לאורחים. ראוי לציין כי רשימת כתובות ה-
MAC שלכם אינה מוצפנת ולכן מומלץ לוותר על סינון כתובות
MACבמידה והדבר מביא לטרחה. חשוב להבין כי זו אינה שיטת אבטחה מוגדרת כגון הצפנה אלא סך הכל מכשול נוסף בדרכו של אדם המעוניין לחדור לרשת ואדם בעל כוונה זדונית יכול בקלות יחסית לאתר את כתובות ה-
MAC ברשת שלכם ולהתחזות לאחד מכרטיסי הרשת (על-ידי פעולה הנקראת
MAC Spoofing) המורשים ולהתחבר אליה. על מנת לזהות את כתובת ה-
MAC במחשב, במערכת ההפעלה חלונות (בכל גרסאות ה-
NT) נפתח חלונית הרצה:
Start > Run > CMD ונקליד
ipconfig /all. נחפש אחר הערך
Physical Address ונעתיק אותו.
![]() |
אחרי שרשמנו את כל כתובות המחשבים המורשים לרשת נגדיר בנתב סינון בהסתמך על כתובות ה-MAC על-ידי כניסה ל-Wireless, לאחר מכן ל-Access Control, בתפריט הנפתח נבחר באופציה Allow, נזין את כתובות ה-MAC המורשות ונלחץ Apply.
![]() |
הצפנה
הנגישות המסוכנת של הרשת האלחוטית היא שמחייבת אותנו לנקוט באמצעי זהירות ואבטחה חמורים יותר. אחת הפעולות החשובות ביותר בכל רשת אלחוטית היא הצפנת המידע הנע ברשת. אפשרות ההצפנה היא שיטת האבטחה החשובה ביותר במדריך זה, כל הפעולות שתוארו עד כה תכליתן היא מניעת הכדאיו של פריצה לרשת על-ידי גורם חסר ידע, או עיכובו של אדם מנוסה המעוניין להתחבר לרשת. פעולות אלה לא מצפינות את המידע הנע ברשת ולכן הפעולה החשובה ביותר לאבטחת הרשת האלחוטית היא שימוש באחת משיטות ההצפנה. ישנם סוגים שונים של הצפנות, לכל שיטה יש חולשות, אך שיטת ההצפנה הקשה ביותר לפענוח ועקב כך השיטה המומלצת ביותר היא ה-
WPA2. ראוי לציין כי כל כרטיס רשת מיוצר על פי תקן
IEEE 802.11X. ישנן גרסאות שונות של רכיבי רשת מאותו תקן, דבר המתבטא באות המחליפה את
X. לא כל הגרסאות תומכות בכל שיטות ההצפנה, ולכן לא תמיד נוכל להשתמש בשיטה הבטוחה ביותר. כעת נסקור בקצרה את שיטות ההצפנה השונות, ונעמוד על ההבדלים ביניהם, וסיבות בגללן ההצפנה המומלצת ביותר על ידינו הינה
WPA2.
![]() |
- WEP היא שיטת הצפנה בסיסית. קל מאוד לפענח את מפתח ההצפנה, המורכב מהספרות 0 עד 9 והאותיות A עד F בלבד. בשיטה זו קיים פגם אבטחה מובנה המבטיח את פריצתה: מפתח ההצפנה חוזר על עצמו אחרי מספר קבוע של חבילות נתונים (Packets) הנשלחות ברשת. ככל שיש יותר תעבורה ברשת (לרוב ברשתות של משרדים או כל רשת המכילה מספר רב של משתמשים) פרק הזמן שייקח לפורץ לזהות את מפתח ההצפנה ייתקצר. כמות המידע הדרושה לפענוח מפתח ההצפנה קטנה יחסית, אך גם במקרה שאין משתמשים ברשת גורם חיצוני יכול ליצור משתמש ובאמצעות שיטת Injection ARP להוסיף תעבורה של נתונים לרשת וכך לזהות את מפתח ההצפנה. לכן, חשוב לכבות את הנתב כאשר בין כמו שימוש כמפורט לעיל. למרות החולשות הרבות של הצפנה זו, במידה וזו ההצפנה היחידה האפשרית כדאי בכל זאת להשתמש בה. עדיפה הצפנה חלשה מגלישה ללא הצפנה כלל.
- WPA (ר"ת Wi-Fi Protected Access) הינה שיטת הצפנה מתוחכמת יותר מה-WEP אשר משתמשת בפרוטוקול TKIP, בעלת מפתח הצפנה משתנה ובעלת מנגון "בדיקת יושרה" של הנתונים הנשלחים ברשת המונעת החדרה של נתונים על-ידי האקר (Injection). אולם, שיטה זו, וגם שיטת ה-WPA2, פגיעות להתקפת כוח ברוטלי (Brute Force) ולכן חשוב לבחור סיסמה אקראית וארוכה (מעל 13 תווים).
- WPA2 הינה שיטת ההצפנה האיכותית ביותר המשתמשת בטכנולוגיות חדישות של הצפנה בפרוטוקול CCMP מבוסס AES. משתמשת בפחות נפח מתעבורת הרשת וקיימים מעט מאוד כלים המסוגלים לפרוץ אותה. כל מוצר הנושא את הסימן המסחרי Wi-Fi חייב לתמוך בשיטת הצפנה זו. קחו בחשבון כשאתם רוכשים כרטיס רשת או נתב חדש. במידה וכרטיס הרשת והנתב שלכם תומכים בשיטת הצפנה זו, השתמשו בה ואל תשכחו להחליף את הסיסמה אחת לחצי שנה. צרו סיסמה שאינה מתבססת על מילים הקיימות במילון, שלבו תווים של אותיות ומספרים אשר יהפכו את הסיסמה לפגיעה פחות לפריצות מסוג כוח ברוטלי.
סיכום
מומלץ לבצע את הפעולות הנ"ל מכיוון שלכולנו חשובה הפרטיות והאבטחה ברשת ורצוי לעדכן את מערכת ההפעלה ואת תוכנת חומת האש על בסיס קבוע. חשוב לזכור כי גם אחרי נקיטת כל הפעולות הדרושות, הרשת לעולם לא תהיה חסינה לחלוטין בפני פריצות ואדם בעל ידע מתאים ורצון יצליח לחדור לכל רשת.
ואל תקראו לרשת שלכם "נסה לפרוץ אותי חחח" כי You WILL be VIOLATED
לגבי הסתרת ה-SSID
כתבת
"הסתרת מזהה הרשת עלולה דווקא לפגוע באבטחה שלנו מכיוון שכך אנו מורידים את רמת האלגוריתם שמצפין את הרשת והופכים את הסיסמה (וההצפנה) לחשופה יותר לתקיפות מילון"
יש לך reference למה שאמרת כרגע?
זה הדבר הכי מוזר ששמעתי..
אם תוכל לצטט מאיפה הבאת את זה, אודה לך מאד.
למה שמישהו יתאמץ כלכך ?
אני לא מבין, למה שמישהו יתאמץ כל כך עד כדי לנסות לעלות לי על הרשת עם כוח ברוטלי ? מה זה יעזור לו ? אני לא מחזיק סודות מדינה על המחשב, מה הטעם ?
אבטחה הפוכה
אני מסתובב הרבה בעיר וגולש מחיבורי wifi לא מאובטחים(לא חסר,יש מבחר) איך אני מגן על השם משתמש וסיסמא לאימייל,פייסבוק וכ"ו?
ל 3
אינטרנט חינם
אינטרנט בחינם – זה למה
המאמץ הוא לא רב, מי שיש לו את הכלים יכול
לפרוץ רשת WEP תוך 10-20 דקות. למה? אינטרנט בחינם, אנונמיות ברמה מסויימת (כל השטויות שהוא יבצע יובילו אלייך).
הוא יוכל גם לגנוב ממך סיסמאות ועוד אם יתחשק לו באמת. בשביל שלוות הנפש שלך, השתמש לפחות ב-WPA.
אז WPA2 בטוח או לא?
לא הבנתי מהכתבה אם WPA2 בטוח או לא
מצטרף ל2
מה זה השטות הזאת? מאיפה הבאת את זה
אני מנסה לשנות מאדמין אדמין כבר שנתיים ולא מצליח למצוא…
מאז שהחליפו לי את הרשת החליפו גם את התפריט …ואני לא מצליח לשנות את הסיסמא….עזרה?
ל-7
הוא הכי בטוח מבין כל השיטות שתוארו, אבל שום שיטה לא חסינה ב-100 אחוז.
לגבי הסתרת SSID
מסתבר שלא מעט מאמרים מצביעים על כך שהסתרת ה-SSID דווקא פוגעת:
Contrary to a common belief that the SSID is a WLAN security feature and its exposure a security risk, the
SSID is nothing more than a wireless-space group label. It cannot be successfully hidden. Attempts to
hide it will not only fail, but will negatively impact WLAN performance, and may result in additional
exposure of the SSID to passive scanning
http://www.library.cornell.edu/dlit/ds/links/cit/redrover/ssid/wp_ssid_hiding.pdf
למה לא מומלץ להסתיר SSID, המאמר של MS
http://technet.microsoft.com/en-us/library/bb726942.aspx#EDAA
טוב אם יעדכנו את המדריך ויוסיפו מילה או שתיים בנושא
תשובה לכולם לגבי הסתרת SSID
"הסתרת ה-SSID מקלה מאוד על ניחוש מפתח ההצפנה כיוון שב-TKIP מבוצע HASH של מפתח ההצפנה עם ה-SSID ואם ה-SSID לא משודר, הרבה יותר קל לגלות את המפתח."
http://www.netcheif.com/Articles/WiFiSecurity/WiFiSecurity.htm
שתי הערות
1. התקנת Firewall בתוכנה כאשר המחשב נמצא מאחורי נתב היא ברוב המקרים מיותרת וסתם מכבידה על המחשב. מעבר לכך, היא מסבכת את כל נושא הפניית הפורטים.
2. למי שרוצה לקרוא גישה קצת אחרת לנושא מוזמן לקרוא את המדריך שלי כאן – http://www.netcheif.com/Articles/WiFiSecurity/WiFiSecurity.htm
הסתרת ה-SSID
אני מצטער, פעם ראשונה שאני שומע על כך שהסתרת ה-SSID פוגעת בהצפנה של ה-TKIP.
הסתרת ה-SSID רק מונעת Broadcast של ה-SSID. זה לא אומר שאין SSID, הוא רק לא משודר. נא להביא סימוכין מאתר יותר רציני.
מה בנוגע להצפנה ברמת הסיביות
ידוע שיש לנו אופציה לבחור אם להשתמש ב 64BIT ברמת ההצפנה ועד ל 128BIT (שבמקרה כזה לוקח לפורץ לפחות שעתיים בניגוד ל 5 דקות) בנוסף אני לא יכול לבחור רמת הצפנה מסוימת ולכתוב איזה סיסמה שאני רוצה
לדוגמה אם בחרתי WEP אז אם אני כותב מתחת ל 5 או 6 תווים אני מקבל שגיאה ואם אני כותב למעלה מ 11 תווים אז שוב אני מקבל שגיאה ולא כתבתם על זה כלום.. (ואני לא בטוח בדיוק שזה WEP או משהוא אחר ובמספרים ובכלל בכל סוג הצפנה זה שונה מאחד לאחד)
הבהרה לגבי הסתרת SSID
ה-SSID של הרשת משמש כ-salt באלגוריתם המייצר את מפתח ההצפנה של אלגוריתם ה-WPA, יחד עם הססמא. חשיפה של ה-SSID אמנם לא מאפשרת ישירות לזהות את המפתח, אבל מקלה על כך.
תודה רבה על הכתבה!
עכשיו בדיוק נזכרתי שלפני שנתיים הגדרתי הצפנת WEP ואמרתי לעצמי שבעתיד אשנה.
עכשיו בדיוק נזכרתי לשנות – WPA2.
איך נכנסים לחלון הזה של HOT?
איך נכנסים לחלון הזה שמוןפיע בכתבה שמאפשר לשנות את הסיסמא ?
ל-9 ול- 19
9: אני לא יודע באיזה מודם מדובר אבל אמור להיות לך לחצן של איפוס הגדרות (בדרך כלל כפתור קטן שלא רואים אם לא מחפשים אותו), אבל אם אתה לא בטוח איך מגדירים אצלך את הרשת תבקש ממישהו שיבצע את ההגדרות איתך.
19:
כדי להיכנס למסך ההגדרות אתה צריך למצוא קודם כל את ה IP שלך, במידה ואתה לא משתמש בPROXY אז תכנס ל http://WWW.WHATISMYIP.COM וזו הכתובת שלך, תקליד אותה בשורת הכתובת של הדפדפן ותגיע למסך ההגדרות.
בהצלחה.
ל – 4 – התחברות לרשתות לא מזוהות
במקרה כזה מומלץ להתחבר דרך חיבור מאובטח (SSL),ברוב הדפדפנים פשוט יופיע לך סימן של מנעול והכתובת מתחילה בHTTPS. החיבור לאימייל של גוגל (GMAIL) מתבצע באמצעות חיבור כזה ואפשר להחמיר עוד יותר : http://hwzone.co.il/news/134502
בפייסבוק אם אתה רוצה חיבור מאובטח אתה צריך להיכנס להגדרות האבטחה
Account settings
Account security
Browse facebook on a secure connection (https)
ואז החיבור שלך יהיה גם כן מאובטח.
בהצלחה.
שיניתי את האבטחה לWPA2 – הוינדוס 7 לא מקבל את זה.
כל פעם שאני מתנק או מכבה את המחשב האבטחה ברשת חוזרת להיות WEP – אני מדגיש, במודם האבטחה נשארת WPA2, בוינדוס האבטחה לא משתנה כמה שאני משנה אותה היא נשארת WEP אחרי ניתוק או כיבוי, אם מישהו יכול לעזור לי שיפנה אליי באימייל: [email protected]
שאלה – במידה ויש לי רשת ללא סיסמה , איך אני מוסיף?
שאלה – במידה ויש לי רשת ללא סיסמה , איך אני מוסיף?