Článok bol publikovaný v časopise PC_SPACE 06/2006.

Určite sa mnohým majiteľom notebookov s WiFi adaptérmi už stalo, že sa niekde v hustejšie obývanej lokalite dostali do dosahu nejakej lokálnej bezdrôtovej siete. Nezriedka sa dokonca stáva, že táto sieť nie je vôbec zabezpečená proti pripojeniu cudzích osôb, a tak sa dá podľa pravidla „čo nie je zakázané je povolené“ použiť na pripojenie do internetu alebo na prehliadanie zdieľaných priečinkov užívateľov tejto siete. Nie vždy to však môže skončiť len pri tejto činnosti a niekedy môže dôjsť aj k úmyselnému poškodeniu konfigurácie siete alebo k úniku citlivých nezabezpečených dát. Ak teda máte doma vlastnú bezdrôtovú sieť, alebo je váš počítač súčasťou nejakej existujúcej, máme pre vás niekoľko rád ako sa nestať obeťou prípadných neželaných „čiernych pasažierov“ v nej.



Žiadna sieť by nebola bezpečná, keby nebolo dostatočne zabezpečené jej srdce, ktorým je v prípade bezdrôtových sietí prístupový bod (access point). Veľká väčšina domácich prístupových bodov sa konfiguruje cez webrozhranie, ktoré má štandardne nastavené nejaké užívateľské meno a heslo. Keďže zistenie presného modelu vášho zariadenia nie je problémom, býva len otázkou času nájdenie štandardného mena a hesla nastaveného výrobcom a potom už prípadný výtržník môže s konfiguráciou siete robiť čo sa mu zachce. Prvým krokom je teda zmena hesla pre konto na administráciu prístupového bodu.



Ďalším základným prvkom zabezpečenia je zašifrovanie všetkej komunikácie prebiehajúcej v bezdrôtovej sieti. Keďže dáta sú prenášané vzduchom a nie pomocou kabeláže, je jednoduché ich odchytiť a prezrieť si ich. Zašifrovanie túto činnosť väčšine záškodníkov značne sťaží, pretože dáta nie sú pre ľudí čitateľné a ak by sa ich aj v krajnom prípade podarilo dešifrovať, potrvá to určitý čas aj na výkonnejšom počítači. Na šifrovanie je vhodné použiť štandardy WEP alebo WPA, ktoré zároveň znemožnia pripojenie do siete bez potrebného kľúča.



Každá bezdrôtová sieť používa na svoju identifikáciu nejaký názov. Pri konfigurácii prístupového bodu sa tento názov označuje ako SSID (service set identifier). Zmena prednastaveného názvu na vlastný síce nijaké zvýšenie bezpečnosti neprinesie, na druhej strane ak prípadný útočník objaví sieť so štandardným SSID zadaným od výrobcu, určite sa dovtípi, že prístupový bod veľmi zabezpečený nebude a zvýši sa šanca, že začne pátrať po potenciálnych bezpečnostných dierach. Dobrým doplnkom ochrany je takzvané skrytie SSID, čo znamená zabránenie vysielania názvu siete do okolia. Táto funkcionalita sa väčšinou skrýva pod položkou Disable SSID broadcast v konfiguračnom rozhraní prístupového bodu. Útočník neuvidí názov vašej siete a bude to mať opäť o čosi ťažšie. Oprávnených používateľov, ktorí by mali SSID vedieť, toto nastavenie nijako neovplyvní.



Ak neplánujete vo vašej sieti príliš často meniť klientské adaptéry alebo priamo počítače, či už stolné, alebo prenosné, môžete si na prístupovom bode povoliť filtrovanie fyzických adries klientských adaptérov. Táto služba je v konfiguračnom rozhraní označená ako MAC address filtering. Robí výhradne to, čo vyplýva z jej názvu – povolí prístup k zariadeniu len pre tie fyzické adresy, ktoré má povolené, a zvyšné pokusy o spojenie jednoducho odfiltruje. Jediné, čo musíte spraviť je ručne zapísať do konfiguračného rozhrania fyzické adresy všetkých zariadení, ktoré budú vašu sieť využívať.

I napriek tomu, že všetky spomenuté rady výrazne zvyšujú bezpečnosť akejkoľvek siete, pre skúsenejšieho útočníka nemusí byť problém dostať sa cez toto zabezpečenie. Tu príde vhod ešte jedno nastavenie, a tým je vypnutie DHCP servera, ktorý sa stará o automatické prideľovanie IP adries každému novému zariadeniu v sieti. Útočník by teda hneď po získaní prístupu do siete získal aj adresu a mohol by si už robiť čo len chce. Ak sa rozhodnete vypnúť DHCP server, vyberte si v konfiguračnom rozhraní rozsah IP adries, ktorý chcete používať, napríklad 192.168.10.x, kde x bude pre každé zariadenie iné. Ďalej už len nastavíte na každom počítači IP adresu napevno.

Pri stavbe siete nezabudnite vhodne premyslieť umiestnenie prístupového bodu, najvhodnejšie umiestnenie je také, kde čo najmenej signálu bude presahovať vaše priestory, teda niekde v strede vášho sídla.