Wifi võrkude tuvalisus (0)

Wifi võrkude turvalisus
Referaat
Sisukord
WiFi võrkude tuvalisus .............................................................. 3
SSID ja MAC-aadress ............................................................... 4
Turvaline WiFi- ühendus .......................................................... 4
WiFi-võrkude turvalisus
WiFi turvalisus on väga keeruline ja mitmetahuline teema. Selge on aga see, et võimalike probleemide ees silma kinnipigistamine olukorda ei lahenda. WiFi levib tahes-tahmata ja ükskõik kui hästi seda ka varjestada või piiritleda ei prooviks, ikkagi levib see meie eluruumidest kaugemale.
Kogutud andmete põhjal on 42% Tallinna WiFi-seadmetest lahtise võrguga (ilma WEP või WPA kaitseta). See ei tähenda küll päris nelja tuhandet (mitteametlikku) avalikku internetipunkti, sest selles statistikas ei kajastu MAC-aadressi kontrolliga piiratud võrgud ega keerulisemaid turvameetmeid. Ent kui vaadata, kui palju on samas tootjanimedega võrke (Linksys, Default, Wireless , WLAN ), võib kahtlustada, et enamikule neist on täiesti vaba juurdepääs.
Alati pole võrgule juurdepääsu piiramine eesmärk ega isegi vajalik. Meil on küllalt avalikke internetipunkte, mis on kõikidele avatud ning leidub palju üksikisikuid, kes põhimõtteliselt oma WiFi-võrgule paroole peale ei pane – las teised ka kasutavad, mind see ei sega. Tallinnas leidub ka selliseid SSID-nimesid nagu “Kasuta mõistlikult!”, “Teel kommunismile” ja “Roheline aas”.
Peab arvestama, et kui otsustate oma koduvõrgule juurdepääsu mitte piirata, siis varem või hiljem ei jää see ainult teoreetiliseks võimaluseks, et keegi teie võrguühendust kasutama hakkab. Netifoorumites on küllalt levinud soovitus internetiühenduse igatsejaile esmalt oma korteris läbi viia üks WiFi-skännimine ning alles siis, kui ühtegi lahtist võrku tõesti läheduses ei leidu, ise leping sõlmida ja netipakett osta.
Enamik kontvõõrastest kasutajatest pole ju pahatahtlikud – tahavad lihtsalt netis surfata, meile lugeda, sõnumsidet kasutada. Peab ainult arvestama sellega, et võõras arvutis olevad viirused võivad ohustada teiegi arvutit ning kui netiühendus järsku väga aeglaseks jääb, võib olla süüdi teie heatahtlikkust kuritarvitav naabripoiss – kasutage alati tulemüüri, viirusetõrjet ning kahtluste korral jälgige võrguseadmest, millised MAC- aadressid on viimasel ajal teie võrguühendust tarbinud.
SSID ja MAC-aadress
Igal WiFi-võrgul on oma nimi. Seda saab ise määrata. Nime väljamõtlemine tundub paljudele tüütu olevat, kuid kindlasti tuleks muuta tehaseseadetes toodud nime (Wireless, Default, WLAN, Linksys vms).
Mõistlikuks ei saa pidada ka oma aadressi kasutamist SSID-nimena – Korter 12, II korrus, Firmanimi OÜ jne. Kui tõesti tahate, et võõrad teie WiFi-võrguga liituda oskaksid, kasutage meiliaadressi või telefoninumbrit. Firmanime kasutamine hõlbustab häkkerite tööd, kodune aadress võib olla aga reklaamiks varastele – siit on vähemalt arvuti kaasa võtta.
Turvaline WiFi-ühendus
Raadiovõrk on mugav nii kodus kui ka kontoris: arvutitöökoha asukoht ei ole enam piiratud kaabli pikkusega, sülearvuti omanikud saavad võrku kasutada kas või koduaias külitades või kontori puhkenurgas kohvi juues. Paraku aga kätkeb traadita arvutivõrgu kasutusmugavus endas ka ohtusid. Turvamata WiFi-võrku on võõral väljastpoolt kontorit siseneda sama lihtne, kui firma töötajal kontori kohvinurgast – vaja läheb vaid paari näpuliigutust.
Kutsumata külaliseks võib olla nii hoone alumisel korrusel tegutseva pubi külastaja, kes tasuta leviala otsib, konkureeriva firma spioon kui ka pahatahtlik häkker. Traadita arvutivõrgu levikul tekkis arvutiterminoloogiasse ingliskeelne mõiste war driving . Selle harrastajate hobiks on sõita sülearvutiga varustatult ringi ning otsida ja kaardistada WiFi levialasid. Iseenesest ei tekita selline ajaviide ju leviala omanikule otsest kahju, kuid pahatihti tegelevad war driving’uga mitte just kõige seadusekuulelikumad kodanikud, kelle eesmärgiks on paremal juhul lihtsalt võõra internetiühenduse loata kasutamine, halvemal juhul aga serveri ülevõtmine, info vargus või hävitamine.
Vaikimisi on tugijaamade konfiguratsioonid reeglina äärmiselt ebaturvalised. Esiteks on turvavaba WiFi-võrku lihtsam installeerida ja kasutada. Teiseks võib näiteks krüpteeringu sisselülitamisel võrgu kiirus langeda. Kolmandaks ei ole tegelikult paljudes WiFi-võrkudes (nt avalikud tasuta levialad) mitmeid turvaabinõusid nagu kasutajateringi piiramine jms üldse tarvis. Küll aga on neid vaja kodus või kontori arvutivõrgus.
Turvaabinõuks number üks on traadita arvutivõrgu krüpteerimine. Kui krüpteerimata WiFi-võrku saab siseneda igaüks, kel teada võrgu SSID ( Service Set Identifier), siis krüpteeritud võrku saab kasutatud vaid vajalikku võtme olemasolul . Traadita võrguühenduse krüpteerimiseks kasutatakse kahte standardit: WEP ( Wired Equivalent Privacy ) ja WPA (Wi-Fi Protected Access). WEPi toetavad kõik traadita võrguühenduse seadmed . WEP-krüpteeringu kasutamiseks on vaja serverisse sisestada võti ehk märgijada, mille pikkus sõltub krüpteeringu tugevusest (näiteks 128bitise krüpteeringu puhul on võtme pikkus 13 tähemärki). WEP-krüpteeringuga kaitstud WiFi-võrgu kasutamiseks tuleb oma arvutisse sisestada sama tähejada. Kogu võrguliiklus tugijaama ja klientarvuti vahel krüpteeritakse selle võtme abil. WEP-krüpteeringut pole tegelikult eriti keeruline lahti murda, kuid selleks kulub nädalaid, nii et juhuslik pahatahtlik huviline vaevalt seda viitsib ette võtta. Loomulikult tuleks aeg-ajalt ka võtit vahetada.
WPA on uuem ja turvalisem tehnoloogia kui WEP. WPAd kahjuks kõik vanemad WiFi-seadmed ei toeta. WPA erinevus WEPist seisneb selles, et ühe staatilise võtme asemel kasutatakse dünaamilist TKIP-tehnoloogiat (Temporary Key Integrity Protocol), mis seisneb automaatselt uute võtmete genereerimises. Seega vahetub võrguliikluse krüpteerimiseks kasutatav võti iga 5–30 minuti tagant, tänu millele pole häkkeritel aega seda lahti murda.
WiFi-võrku sisenemiseks võib aga ka lihtsalt sisselogimist nõuda. Selleks otstarbeks sobib mõni RADIUS- server (Remote Authentication Dial-In User Service), näiteks Microsofti IAS ( Internet Authentication Service) RADIUS Server. Suurepäraseks abinõuks WiFi-võrkude turvamisel on ka MAC- aadresside filter, mida paraku küll veel kõik tugijaamad ei võimalda. MAC-aadresside filtreerimisel lubatakse WiFi-võrku kasutada vaid kindla füüsilise aadressiga võrgukaartidel (iga võrgukaardi MAC-aadress on kogu maailmas unikaalne). Eriti hästi sobib MAC-aadresside filter firmadele, kelle raadiovõrku kasutatakse kindlatelt arvutitelt.
Tavaliselt on traadita arvutivõrgu tugijaam seadistatud DHCP -serveriks, st nad jagavad võrku sisenevatele arvutitele IP-aadressi automaatselt. Turvalisuse suurendamiseks võiks DHCP-serveri välja lülitada ja sisestada igasse klientarvutisse IP, netmaski jms võrguühenduse parameetrid käsitsi. Traadita arvutivõrku installeerides tuleks kindlasti ära muuta vaikimisi pakutav SSID. Vastasel juhul on häkkeritel kergem võrku avastada ja lahti muukima hakata. Vaikimisi on SSIDks tavaliselt nimi, mis viitab seadme tootjale (näiteks Compaq ), seda teades saab potentsiaalne sissetungija hakata häkkimiseks kasutama juba tugijaamamudelispetsiifilisi nippe. Kõige turvalisem on valida SSIDks suvaline tähekombinatsioon, mitte firma nimi.
Vaikimisi on suurem osa tugijaamadest seadistatud edastama SSIDd kõigile arvutitele, mis tugijaama levipiirkonnas WiFi-ühendust otsivad. Krüpteeritud ühenduse puhul küll võrku sisenemiseks ainult SSID teadmisest ei piisa, kuid siiski pole mõtet võimalikes häkkerites kiusatust tekitada. Seega on mõistlik SSID publitseerimine välja lülitada ja lubada võrku kasutada vaid neil, kes oskavad ise õige ID sisestada.
Hoolikalt konfigureeritud turvaseadetest on aga vähe kasu, kui iga WiFi-võrgu kasutaja saab neid soovi korral muuta. Seega tuleb kindlasti tähelepanu pöörata administreerimisprogrammi turvalisusele:
muuta administraatori kasutajatunnus ja salasõna, kasutada administreerimisliidese aadressina vaikimisi pakutava aadressi asemel mõnda muud (tugijaama administreerimiseks on tavaliselt veebipõhise kasutajaliidesega programm, mida saab kasutada teatud kohtvõrguaadressilt, näiteks 192.168.1.240), kui tugijaam pakub sellist võimalust, lubada administreerimisliidesele juurdepääs ainult traadiga ühenduse kasutamisel .
Tähelepanu võiks pöörata ka tugijaama asukohale. Ei ole mõtet tasuta võrgu otsijaid meelitada aknalauale paigutatud tugijaamaga, mis WiFit üle kogu tänava levitab – targem on leida seadmele koht soovitava leviala keskel. Kui levi osutub siiski liiga tugevaks , annab seda edukalt vähendada tugijaamal antenni küljest ära kruvimisega.
Lõpuks ei tohi unustada ka elementaarseid võrguressursside jagamist puudutavaid turvanõudeid, mis kehtivad iga internetti ühendatud arvutivõrgu puhul, olgu see siis traadiga või traadita. Väljajagatud kettad -kataloogid ja võrguprinterid peaksid olema kaitstud paroolidega, serverites programmide käivitamine eeldama sisselogimist jms.