Zabezpieczanie sieci WiFi, Routery 3G, TP-Link TL-MR3220 v1.2
[ Pobierz całość w formacie PDF ]
Zabezpieczanie sieci WiFi - prosty poradnikKilka prostych metod zabezpieczania WiFiNa wstępie nadmienię, że poradnik ten ma być prostym opisem (co zrobićaby zabezpieczyć sieć) a nie pracš naukowa i ma służyć poczštkujšcym ;)Jednak zagadnienia tu poruszane mogš być trudne i czasami (przynieodpowiedniej konfiguracji) mogš powodować brak połšczenia z routeremlub brak dostępu do internetu. Dlatego wszystkie tu opisane metody używaciena własne ryzyko. Każdy z kroków tu przedstawionych należy wprowadzaćosobno celem sprawdzenia czy proces konfiguracji przebiegł pomylnie.Trzeba też rozważyć, czy niektóre zabezpieczenia nie przyniosš nam zbytdużych utrudnień a dla osób, które chcš się włamać i tak stanowiš małezabezpieczenie (np. filtracja MAC adresów) - dlatego czasami nie wartoużywać wszystkich podanych tu metodJeżeli chcemy uniknšć nielegalnego podłšczenia do naszej sieci innychnieautoryzowanych użytkowników to powinnimy:- włšczyć szyfrowanie WPA a najlepiej WPA2 (i to polecamy) na routerze/AP,nadać odpowiednio skomplikowany i długi klucz. Następie takie samoszyfrowanie ustawić na karcie sieciowej i podać klucz.- wyłšczyć możliwoć konfiguracji routera za pomocš WiFi. Powinno tobyć robione tylko za pomocš podłšczenia kablowego.Poza WPA/WPA2 warto rozważyć jeszcze użycie kilku z poniższych metod.Ale majšc na względzie to, co opisane na poczštku tego postu. Gdyż obecniewiększoć metod zabezpieczenia wymienionych poniżej jet łatwa do ominięcia,dlatego tylko WPA2 stanowi jakie poważne zabezpieczenie.Pozostałe metody zabezpieczenia:- włšczyć blokadę MAC adresów kart sieciowych - czyli dopucić tylkoautoryzowane adresy/karty. Po uruchomieniu tego zabezpieczenie należywprowadzić wszystkie adresy MAC kart, które majš mieć dostęp do naszejsieci.W tym przykładzie opcja ta występuje jako: Only allow computerswith MAC address listed below to access the networkJednak należy pamiętać, że dla osób znajšcych się na temacie takiezabezpieczenie jest stosunkowo łatwe do obejcia.- wyłšczyć rozgłaszanie SSID - możemy to uczynić w zakładce w którejustawiamy nazwę swojej sieci WiFi (SSID) i tam też powinna być opcjaumożliwiajšca wyłšczenie rozgłaszania SSID, np.: HIDE SSID albo copodobnego.W przykładzie powyżej opcja ta nazywa się: SSID Broadcast -> disabledTylko należy pamiętać, żeby to zrobić dopiero wtedy, gdy połšczenieWiFi z naszym komputerem będzie już zestawione, gdyż ukrycie SSIDpowoduje to, że niektóre programy dostarczone do kart sieciowych(menadżerów połšczeń) nie będzie widziało takiej sieci (nam o tochodzi przy zabezpieczeniu) i połšczenie będzie możliwe dopiero poręcznym wpisaniu danych sieci (czyli m.in. SSID). Natomiast jakpołšczenie będzie już ustawione, to spokojnie można wyłšczyćrozgłaszanie SSID.Przy podłšczeniu nowego komputera jeżeli ręcznie podamy SSID i kluczale nie będzie można się podłšczyć, to na chwilę możemy włšczyćSSID na routerze, podłšczyć nowy komputer i potem znowu wyłšczyćrozgłaszanie SSID.Czasami to zabezpieczenie może nam utrudnić życie z uwagi na to,że kto może nie wiedzieć, że zajmujemy dany kanał i ustawić natymże kanale swój sprzęt.- wyłšczenie serwera DHCP na routerze - aby to wyłšczyć należy znalećopcję np. Disabled DHCP (lub podobnš).W przykładzie powyżej opcja ta nazywa się: DHCP Server -> DisabledJeżeli wyłšczymy tę opcję wszystkie adresy IP, maski, bramy domylne,adresy DNS na komputerach podłšczonych do routera trzeba będzie podaćręcznie, gdyż nie zostanš one pobrane automatycznie (ale o to chodziw tym zabezpieczeniu).To też może nam utrudnić życie. Każdy notebook czy PDA, którychużywamy na otwartych hot-spotach nie będzie u nas pracował i trzebabędzie ręcznie zmieniać konfigurację sprzętu.- Zmienić podsieć na bardziej egzotycznš niż ta, która jest domylnieustawiona na routerze, to nic innego jak zmiana adresu routera.Ustawiamy tu adres np.: 10.10.100.x - (gdzie z jest liczbš z przedziału1-254) należy przy tym uważać, żeby taka sama podsieć nie byłaprzypisana do portu WAN routera.Oczywicie skonfigurowanie wszystkiego wg. tego poradnika nie gwarantujenam 100% pewnoci, że nikt się nie włamie do naszej sieci ale ograniczyto większoć domorosłych intruzów. Zabezpieczenia te majš największy sensprzy szyfrowaniu WPA i wyższym.Należy też pamiętać, że skonfigurowanie tych wszystkich zabezpieczeń możepowodować czasami pewne problemy (jeżeli chodzi np. o funkcjonalnoć) przypóniejszym korzystaniu z takiej sieci co opisano przy każdym punkcie kursywš.Przykładowo, przy podłšczeniu kolejnego komputera do sieci musimy wszytkoskonfigurować ręcznie, wszystkie adresy: IP, maski, bramy, DNSy, SSID sieci...Ale co za co ;) Należy wybrać czy zależy nam na zabezpieczeniu sieciczy na jej funkcjonalnoci.Włšczenie szyfrowania może też zmniejszyć prędkoć przesyłania danychw sieci o ile dla połšczenia z internetem nie jest to istotne (bo i takszybkoć przesyłania będzie większa niż przepustowoć naszego łšcza), todla połšczeń między dwoma komputerami w sieci lokalnej może już być zauważalne.Należy też dodać, że niektóre tańsze routery potrafiš zawieszać się przywłšczonym szyfrowaniu WPA lub WPA2. Jeżeli taki problem wystšpi a zależynam na bezpieczeństwie, to raczej bez wymiany sprzętu się nie obędzie,gdyż szyfrowanie WEP obecnie nie gwarantuje praktycznie żadnego bezpieczeństwa.Jak kto boi się jeszcze, to można użyć metody podanej tu:Zmiana adresowania w LAN.Trzeba zmienić adresowanie w LAN żeby adres bramy był trudny doodgadnięcia/ustalenia. Normalnie/domylnie jest często xxx.xxx.xxx.1wystarczy zmienić na xxx.xxx.xxx.199 i już trudno zgadnšć. Jeszczewiększe możliwoci sš w adresacji 10.xxx.xxx.xxx bo tu brama może miećbardzo dziwny adres powiedzmy 10.133.223.111 czy jakikolwiek innyz podanego zakresu adresów.Na routerze w polu "Local IP address" wpisujemy sobie adres bramy dla LAN,co z zakresu 10.0.0.1 - 10.255.255.254 (np. 10.34.12.111) i w polu"Subnet mask": 255.255.0.0 (poprawna będzie też 255.0.0.0)Zapisujemy ustawienia i restartujemy router.Jeli mamy wyłšczony serwer DHCP, to na wszystkich komputerach w LANtrzeba ręcznie wpisać takš samš maskę "255.255.0.0" a tylko indywidualneadresy IP inne (np. 10.34.13.111, 10.34.14.111, 10.34.15.111).No i adres domylnej bramy: 10.34.12.111. [ Pobierz całość w formacie PDF ]