לרשת אלחוטית – WLAN בבית או בעסק יש יתרונות רבים, החל מחסכון בתשתית ועד לנגישות למשתמש – אין צורך בחיבור ישיר לנקודת גישה מסוימת ועקרונית אין הגבלה על מספר החיבורים. אך החיסרון המובהק של הרשת האלחוטית טמון גם הוא בנגישות שלה אשר זמינה לא רק לגורמים רצויים. בשונה מרשת חוטית או קווית שדורשת גישה לכבלים או שקעים בכדי להתחבר אליה, ברשת אלחוטית הנתונים (Packets) הנשלחים בין המחשבים בתוך הרשת הפנימית ובין המחשבים לרשת האינטרנט נעים באוויר, עובדה שהופכת אותם לזמינים לאנשים בעלי כוונות זדוניות, או כאלו המעוניינים להתחבר לרשת שלנו ותוך כדי כך להאט אותה. המידע הזה עשוי להיות קבצים, סיסמאות, שיחות בתוכנות מסרים מיידים כגון מסנג'ר, דואר אלקטרוני וכל מידע שמתקבל או נשלח ברשת. החשיבות של הנתונים הללו לנו, המשתמשים, עצומה ולכן מומלץ ואף רצוי לפעול בהקדם על מנת לאבטח את המידע האישי שלנו. המדריך נועד להסביר לכם אילו פעולות יש לבצע ומהן הסיבות העומדות מאחורי ביצוע פעולות אלו.
הפעולות בוצעו באמצעות מודם – נתב אלחוטי של HOT מדגם Ambit u10c019 (שם המשתמש: Admin והסיסמה: cableroot) אך רוב הפונקציות קיימות בכל סוגי הנתבים בוריאציה זו או אחרת.
5 פעולות בסיסיות אך חיוניות לאבטחת הרשת
אלו פעולות בסיסיות אך חיוניות על מנת להקשות על כל אלו המעוניינים לחדור לרשת האלחוטית שלנו או להשתמש בה באופן לא מורשה, כשלעצמן הן לא מגנות עלינו לחלוטין אך שילוב של כולן יחד עם הצפנה מבטיח לנו רמת אבטחה סבירה.
שינוי סיסמת Admin ברירת המחדל בנתב: רוב החברות המייצרות נתבים מגדירות סיסמת ברירת מחדל ל-Admin ולשאר המשתמשים לאזור בו מגדירים את אפשרויות ותכונות הנתב/הרשת. באמצעות חיפוש מהיר בגוגל אחר הוראות היצרן (User's Manual) של הדגם המסוים של הנתב ניתן למצוא את שם המשתמש והסיסמה שמוגדרים כברירת מחדל, במידה ולא שינינו את הפרטים האלו גורם חיצוני שהצליח להתחבר לרשת עלול "לשחק" לנו בהגדרות. נכנסים בתפריט העליון ל-Tools ובתפריט השמאלי ל-Passwords ומשנים את הסיסמאות של ה-Admin וה-User (רצוי לבחור בסיסמה משולבת אותיות ומספרים) ולוחצים Apply.
הפעלת חומת-אש (Firewall): מומלץ להתקין תוכנת
חומת אש בכל אחד מן המחשבים ברשת, עוד על כך תוכלו לקרוא
במדריך לאבטחת המחשב. ניתן גם להפעיל את חומת האש המובנית בנתב (במידה וקיימת) אך יש לכך השלכות על התנהלות הרשת, עלול לחסום תוכנות או פורטים מסוימים ולאו דווקא לתרום לאבטחת הרשת האלחוטית.
|
כיבוי הנתב באי שימוש: כאשר הנתב כבוי והרשת לא פעילה לא ניתן לפרוץ אליו, לכן כאשר אתם נעדרים מהבית לתקופות ארוכות יחסית (כמה ימים ומעלה) רצוי לכבות את הנתב אך מומלץ לוודא שפעולה זו לא מאפסת את הגדרות הרשת, ברוב הנתבים ישנו כפתור המיועד לאיפוס וניתוק זרם החשמל לא אמור לשנות דבר בהגדרות הרשת. במידה ואתם משתמשים בתכונות האלחוטיות של הרשת בתקופות שונות, לדוגמה: כשבא אורח עם מחשב נייד, ובשאר הזמן אתם משתמשים רק בחיבורים חוטיים רצוי לבדוק אם ניתן לכבות רק האות האלחוטי של הרשת בין אם על-ידי מתג פיזי או באמצעות ממשק הניהול של הנתב.
מיקום הנתב בבית וכיוון עוצמת האות: רצוי להציב את הנתב במרכז הבית משתי סיבות, ראשית כל – כך המשתמשים זוכים לעוצמת אות גבוהה, מלבד זאת – הצבת הנתב קרוב לחלק החיצוני של הבית תביא לכך שהאות שלו ייקלט גם במקומות רחוקים – בניינים אחרים, רחוב וכו'. בחלק מן הנתבים ניתן גם לכוון את עוצמת האות, במידה ובכל האזורים הדרושים אתם זוכים לאיכות קליטה גבוהה רצוי להנמיך את עוצמת האות בשיטה של ניסוי וטעייה עד שתגיעו לעוצמה האידיאלית.
שינוי SSID ברירת מחדל וביטול שידורו – לא מומלץ: ה-SSID (ר"ת Service Set Identifier) הוא השם המזהה של הרשת האלחוטית שלנו, לכשעצמו גם אם גורם חיצוני יראה אותו לא תהיה לו גישה לרשת, למרות מה שנהוג לחשוב, הסתרת מזהה הרשת עלולה דווקא לפגוע באבטחה שלנו מכיוון שכך אנו מורידים את רמת האלגוריתם שמצפין את הרשת והופכים את הסיסמה (וההצפנה) לחשופה יותר לתקיפות "מילון" – Brute Force ולכן לא מומלץ לבטל את שידורו, כמו כן לשינוי שם הרשת אין משמעות במידה והמזהה לא מוסתר.
סינון על-פי כתובות MAC
ראשית כל, כתובת MAC (ר"ת Media Access Control) הינה ערך ייחודי לכרטיס הרשת שלכם (ולכל התקן רשת פיסי או ווירטואלי). מעיין תעודת זהות של החומרה אשר נקראת גם Physical Address והפורמט שלה נראה כך:
בגלל שכתובת זו ייחודית לכרטיס הרשת, במידה וישנם משתמשים ספציפיים הגולשים ברשת שלכם קיימת האפשרות להגדיר בנתב אישור התחברות כרטיסי רשת מסויימים. משמעות הדרך היא שרק משתמשים ספציפיים יוכלו לגלוש ברשת, דבר שעשוי לגרום לסרבול במידה ואתם מעוניינים לאפשר גישה לאורחים. ראוי לציין כי רשימת כתובות ה-
MAC שלכם אינה מוצפנת ולכן מומלץ לוותר על סינון כתובות
MACבמידה והדבר מביא לטרחה. חשוב להבין כי זו אינה שיטת אבטחה מוגדרת כגון הצפנה אלא סך הכל מכשול נוסף בדרכו של אדם המעוניין לחדור לרשת ואדם בעל כוונה זדונית יכול בקלות יחסית לאתר את כתובות ה-
MAC ברשת שלכם ולהתחזות לאחד מכרטיסי הרשת (על-ידי פעולה הנקראת
MAC Spoofing) המורשים ולהתחבר אליה. על מנת לזהות את כתובת ה-
MAC במחשב, במערכת ההפעלה חלונות (בכל גרסאות ה-
NT) נפתח חלונית הרצה:
Start > Run > CMD ונקליד
ipconfig /all. נחפש אחר הערך
Physical Address ונעתיק אותו.
|
אחרי שרשמנו את כל כתובות המחשבים המורשים לרשת נגדיר בנתב סינון בהסתמך על כתובות ה-MAC על-ידי כניסה ל-Wireless, לאחר מכן ל-Access Control, בתפריט הנפתח נבחר באופציה Allow, נזין את כתובות ה-MAC המורשות ונלחץ Apply.
|
הצפנה
הנגישות המסוכנת של הרשת האלחוטית היא שמחייבת אותנו לנקוט באמצעי זהירות ואבטחה חמורים יותר. אחת הפעולות החשובות ביותר בכל רשת אלחוטית היא הצפנת המידע הנע ברשת. אפשרות ההצפנה היא שיטת האבטחה החשובה ביותר במדריך זה, כל הפעולות שתוארו עד כה תכליתן היא מניעת הכדאיו של פריצה לרשת על-ידי גורם חסר ידע, או עיכובו של אדם מנוסה המעוניין להתחבר לרשת. פעולות אלה לא מצפינות את המידע הנע ברשת ולכן הפעולה החשובה ביותר לאבטחת הרשת האלחוטית היא שימוש באחת משיטות ההצפנה. ישנם סוגים שונים של הצפנות, לכל שיטה יש חולשות, אך שיטת ההצפנה הקשה ביותר לפענוח ועקב כך השיטה המומלצת ביותר היא ה-
WPA2. ראוי לציין כי כל כרטיס רשת מיוצר על פי תקן
IEEE 802.11X. ישנן גרסאות שונות של רכיבי רשת מאותו תקן, דבר המתבטא באות המחליפה את
X. לא כל הגרסאות תומכות בכל שיטות ההצפנה, ולכן לא תמיד נוכל להשתמש בשיטה הבטוחה ביותר. כעת נסקור בקצרה את שיטות ההצפנה השונות, ונעמוד על ההבדלים ביניהם, וסיבות בגללן ההצפנה המומלצת ביותר על ידינו הינה
WPA2.
|
- WEP היא שיטת הצפנה בסיסית. קל מאוד לפענח את מפתח ההצפנה, המורכב מהספרות 0 עד 9 והאותיות A עד F בלבד. בשיטה זו קיים פגם אבטחה מובנה המבטיח את פריצתה: מפתח ההצפנה חוזר על עצמו אחרי מספר קבוע של חבילות נתונים (Packets) הנשלחות ברשת. ככל שיש יותר תעבורה ברשת (לרוב ברשתות של משרדים או כל רשת המכילה מספר רב של משתמשים) פרק הזמן שייקח לפורץ לזהות את מפתח ההצפנה ייתקצר. כמות המידע הדרושה לפענוח מפתח ההצפנה קטנה יחסית, אך גם במקרה שאין משתמשים ברשת גורם חיצוני יכול ליצור משתמש ובאמצעות שיטת Injection ARP להוסיף תעבורה של נתונים לרשת וכך לזהות את מפתח ההצפנה. לכן, חשוב לכבות את הנתב כאשר בין כמו שימוש כמפורט לעיל. למרות החולשות הרבות של הצפנה זו, במידה וזו ההצפנה היחידה האפשרית כדאי בכל זאת להשתמש בה. עדיפה הצפנה חלשה מגלישה ללא הצפנה כלל.
- WPA (ר"ת Wi-Fi Protected Access) הינה שיטת הצפנה מתוחכמת יותר מה-WEP אשר משתמשת בפרוטוקול TKIP, בעלת מפתח הצפנה משתנה ובעלת מנגון "בדיקת יושרה" של הנתונים הנשלחים ברשת המונעת החדרה של נתונים על-ידי האקר (Injection). אולם, שיטה זו, וגם שיטת ה-WPA2, פגיעות להתקפת כוח ברוטלי (Brute Force) ולכן חשוב לבחור סיסמה אקראית וארוכה (מעל 13 תווים).
- WPA2 הינה שיטת ההצפנה האיכותית ביותר המשתמשת בטכנולוגיות חדישות של הצפנה בפרוטוקול CCMP מבוסס AES. משתמשת בפחות נפח מתעבורת הרשת וקיימים מעט מאוד כלים המסוגלים לפרוץ אותה. כל מוצר הנושא את הסימן המסחרי Wi-Fi חייב לתמוך בשיטת הצפנה זו. קחו בחשבון כשאתם רוכשים כרטיס רשת או נתב חדש. במידה וכרטיס הרשת והנתב שלכם תומכים בשיטת הצפנה זו, השתמשו בה ואל תשכחו להחליף את הסיסמה אחת לחצי שנה. צרו סיסמה שאינה מתבססת על מילים הקיימות במילון, שלבו תווים של אותיות ומספרים אשר יהפכו את הסיסמה לפגיעה פחות לפריצות מסוג כוח ברוטלי.
סיכום
מומלץ לבצע את הפעולות הנ"ל מכיוון שלכולנו חשובה הפרטיות והאבטחה ברשת ורצוי לעדכן את מערכת ההפעלה ואת תוכנת חומת האש על בסיס קבוע. חשוב לזכור כי גם אחרי נקיטת כל הפעולות הדרושות, הרשת לעולם לא תהיה חסינה לחלוטין בפני פריצות ואדם בעל ידע מתאים ורצון יצליח לחדור לכל רשת.