Hlavní navigace

Zabraňte hackerům nabourat WLAN

23. 6. 2007

Sdílet

Díky WLAN můžete dát sbohem změti kabelů: získáte bezdrátový přístup na internet a můžete své počítače propojit do sítě. Hackeři však znají celou řadu triků, jak se i touto cestou dostat k vašim datům.

Instalace WLAN je velmi jednoduchá – pokud se držíte nastavení výrobce routeru a síťové karty. Do takové sítě je pak ovšem také velmi snadné se nabourat. Koneckonců vše funguje bezdrátově. Když je síť nechráněná, může se na ni napojit kdokoliv v dosahu přístupového bodu nebo routeru. Může být pak docela k vzteku, když je váš sjednaný objem dat vyčerpaný hned na začátku měsíce, protože váš přístup používá i soused.




Mnohem horší následky to má v případě, kdy někdo přes váš přístup na web stahuje ilegální data. Pak by se mohlo stát, že jednoho dne budete muset vysvětlovat policii, že nemáte ani tušení, kdo tato data přes váš účet stahoval. A kdo by si přál, aby někdo jiný, nějaký nezvaný host, si četl spolu s ním právě otevírané stránky? Určitě byste si rádi ponechali pro sebe i data pro přístup do banky a do aukcí Ebay – stejně jako číslo platební karty nebo virtuální kreditní karty určené jen pro on-line obchodování a nakupování. Měli byste tedy využívat všechny funkce, jimiž můžete svou síť chránit před vniknutím neoprávněného uživatele.

Na následujících stránkách si proto vysvětlíme konkrétně, jak musíte síť nastavit, abyste znemožnili hackerům prohlížet si vaše PC nebo jim zabránili používat vaše internetové připojení.

Útoky hackerů


1. Riskantní základní nastavení
Výrobci to hackerům v základní konfiguraci přístupového bodu, respektive routeru dosti usnadňují: většinou není aktivní žádné šifrování. Identifikátor Wi-Fi sítě (SSID: Service Set Identifier) je nastaven na Default, popřípadě na jméno výrobce. IP adresy, které zařízení přidělují, se pohybují například v rozsahu 192.168.0.0 až 192.168.0.255 nebo 192.168.2.0 - 192.168.2.255, tedy v rozmezí 256 adres, ačkoliv je k dispozici mnohem větší rozsah od 192. 168.0.0 do 192.168.255.255. Chce-li někdo nezvaný proniknout do sítě, nemusí tedy ani zkoušet mnoho kombinací, obzvláště když zná standardní rozsahy adres rozšířených routerů. Kromě toho síť při počátečním nastavení akceptuje všechny síťové karty, protože autentizace na bázi MAC adres je vypnutá. Pokud ji aktivujete, mají k síti přístup jen ty počítače, které se předtím jednoznačně přihlásily. Jestliže ponecháte tato standardní nastavení, pak se vaše síť stane snadnou kořistí i pro amatérské hackery. O změně konfigurace své WLAN tak, aby byla bezpečná, se dočtete dále.

2. Sniffery
Hackeři mají k dispozici velmi bohatý arzenál rafinovaných nástrojů, s nimiž mohou zahájit útok na vaši síť. Obzvláště tehdy, když sdílíte síť s více uživateli, je velmi užitečné pomocí těchto nástrojů sám vyzkoušet, zda je proti útokům dostatečně chráněná. Existují programy zvané sniffery, jež vyhledávají sítě WLAN, odposlouchávají je a rovněž dekódují WEP šifrování. Příklady podobných programů jsou Wellenreiter (www.wellenreiter.net) nebo Kismet (www.kismetwireless.net). Oba nástroje běží pod Linuxem a fungují jen s některými profesionálními bezdrátovými kartami – mimo jiné Proxim Orinoco 11b/g PC Card Gold World, D-Link DWL-G650 nebo Cisco Aironet Cardbus Adapter. Sniffer pro Windows se jmenuje Netstumbler (www.netstumbler.com) a funguje s mnoha běžnými kartami. S podobným nástrojem je hračkou identifikovat WLAN a získat podstatné informace, jako je například SSID.

3. Dlouhé uši
Hackeři většinou nepracují s drobnými standardními anténami mobilních karet WLAN, nýbrž používají směrové antény, které mají podstatně větší dosah. Proto není vaše síť bezpečná například dokonce ani tehdy, když se svým notebookem nechytnete WLAN už na zahradě. Zesilovací anténa za pomoci snifferu vyhledá sítě WLAN na kilometry daleko (např. anténa D-Link ANT-24-2100 se ziskem 21 dB). Pro hackera tedy není žádný problém zabývat se vaší sítí v autě dole na ulici. I když někdo nechce investovat peníze do drahé antény, může si směrovou anténu opatřit jinak. Na internetu je možné najít v angličtině návody na amatérské sestrojení směrových antén – například na www.turnpoint.net/wireless/cantennahowto.html a www.nodomainname.co.uk/cantenna/cantenna.htm.



4. WEP přináší málo užitku
Váš router nabízí mimo jiné šifrování WEP. Ale tento standard je již dávno prolomený. Pokud má útočník možnost odposlouchat dostatečné množství dat z určité WLAN, může vypočítat používané heslo – například pomocí nástroje Airsnort pro Linux a Windows (http://airsnort.shmoo.com, funguje jen s určitými profesionálními kartami WLAN). A když má hacker klíč, jsou mu dveře vaší sítě otevřeny dokořán. Neboť nyní může zcela jednoduchou analýzou zaznamenaných datových paketů získat informace o systémech, podílejících se na provozu sítě. Pokud se nejedná o příliš komplexní síť, je přístup do ní relativně snadný. Hacker nastaví vlastní počítač na IP adresu, která se v odposlouchávaném toku dat nevyskytla, takže je pravděpodobně volná, ještě rozluští masku podsítě (ta je většinou „255. 255.255.0“), a je v síti. Potom se dostane rovněž k dalším heslům – například k vašim údajům pro přístup na Ebay. Podle frekvence výskytu určitých paketů a jejich vlastností (používané protokoly a porty) může hacker kromě toho usoudit, jaká je funkce jednotlivých síťových počítačů, skrytých za rovněž zaznamenanými IP adresami. Čím více toho vetřelec ví, tím cíleněji může vést další útoky – například na poštovní nebo souborový server.

Jak učinit síť WLAN bezpečnou


5. Aktualizujte firmware
Ať již svůj router vlastníte delší dobu nebo jste si právě koupili nový – obstarejte si v každém případě aktuální firmware. Nejbezpečněji update provedete přes drátový přístup k internetu (přes kabel).

Upozornění: U mnoha zařízení vede nahrání nového firmwaru ke ztrátě dosavadních nastavení. Proto provádějte update u nového počítače ještě před podrobným konfigurováním sítě. Při pozdější aktualizaci byste si měli udělat několik
poznámek o struktuře.

6. Chraňte router
Nejbezpečněji si síť nakonfigurujete při kabelovém propojení. Přinejmenším jedno PC byste přitom měli spojit s routerem síťovým kabelem: pak můžete deaktivovat bezdrátovou konfiguraci zařízení a zamezit přístupu ke konfiguračnímu menu zvenčí. Pouze když má někdo přístup k vašemu PC, může například nenápadně změnit povolený rozsah IP adres (viz bod 8 níže).

7. Pryč se standardy
Při zřizování WLAN byste měli změnit původní konfiguraci zařízení. Pokud ponecháte hesla (bod 11) a SSID od výrobce, nemusí útočník hledat dlouho (bod 1). Ten, kdo zná SSID, se může spojit s routerem. Zvolte proto takový znakový řetězec, jež se nedá prolomit slovníkovým útokem. Měl by mít alespoň devět znaků a sestávat z písmen a číslic – maximální délka je 32 znaků. Dále v routeru vypněte funkci SSID broadcasting (někdy místo toho musíte aktivovat „protected/hidden SSID“). Jinak je zařízením pravidelně vysílán identifikátor SSID. To sice činí zapojení nových počítačů pohodlnějším, avšak zároveň servíruje hackerům informace takříkajíc na stříbrném podnose. Proto si SSID raději poznamenejte a zadávejte ho v případě potřeby ručně. Pak se již totiž při instalování v seznamu dostupných WLAN nezobrazí.

8. Používejte méně časté IP adresy
Běžně se lokální síť provozuje s IP adresami 192.168.xxx.xxx. Výrobci podle toho nastavují svoje produkty – většinou dokonce pro mnohem menší adresní prostor 192.168.0.xxx. Tím zase o něco zjednodušují práci hackerům. Měli byste se proto od tohoto kvazistandardu zřetelně odlišit a svoji síť trochu schovat. Neboť existuje ještě druhý adresní prostor, který je pro soukromé IP adresy povolený – tedy adresy, které se neobjevují na internetu: 10.xxx.xxx.xxx. Tento adresní prostor se využívá mnohem méně – a má tu výhodu, že poskytuje 256krát více adres. To pro nezvané hosty znamená mnoho práce s vyhledáváním. Můžete nastavit router například na adresu 10.34.76.98 a jednotlivým počítačům přidělit IP adresy 10.34.76.100 až 10.34.76.126. Přinejmenším ti hackeři, kteří mají naspěch, už vaši síť nenajdou.

9. Deaktivujte DHCP
Standardně jsou routery nastaveny tak, že přidělují IP adresy z předem zvoleného rozsahu (bod 8) automaticky přes DHCP. To znamená: zařízení se ohlásí routeru a přes DHCP dostane přidělenu IP adresu, kterou může používat až do svého vypnutí. Server DHCP se tedy automaticky stará o to, aby žádná IP adresa neexistovala dvakrát. To celou věc zjednodušuje – ovšem i pro vetřelce: kartě WLAN se přes DHCP přidělí funkční IP adresa a je jedno, zda karta patří vám nebo hackerovi před domem. Přidělte proto počítačům v síti WLAN pevné IP adresy a deaktivujte DHCP v routeru. Tím útočníkovi podstatně zkomplikujete proniknutí do své sítě, dokonce i samotná analýza struktury pro něj bude výrazně složitější, neboť hacker potřebuje volnou a použitelnou IP adresu ve vámi povoleném rozsahu adres – v příkladu z bodu 8 jsou to adresy od 10.34.76.100 do 10.34.76.126. Pokud však router novým zařízením v síti WLAN žádnou IP adresu nepřidělí, musí útočník nejprve vyhodnotit velké množství datových paketů, aby zjistil, kterou IP adresu by mohl používat. Pravděpodobnost, že hacker proto potáhne znuděně o dům dál, je vysoká. Jestliže totiž použije adresu, která je již obsazena běžícím počítačem, provoz v síti se naruší. Odposlech však není možný nebo je možný jen s velkými obtížemi, protože není jisté, který z dotyčných počítačů se stejnou IP adresou datový paket směrovaný na tuto adresu nyní obdrží.

10. Kontrolujte MAC adresy
Jsou-li ve vaší WLAN zapojena stále stejná zařízení, můžete jako další bezpečnostní mechanizmus bez omezení pohodlí aktivovat autentizaci na bázi MAC adres. Každé aktivní síťové rozhraní, například u routeru, síťové karty, karty WLAN, printserveru nebo přístupového bodu, má celosvětově jednoznačný identifikátor: adresu MAC (Media Access Control). U síťových karet ve Windows ji najdete pod Start, Nastavení, Síťová připojení. Klikněte pravým tlačítkem myši na síťové připojení a zvolte Stav, záložku Podpora, Podrobnosti. Hledaná informace je uvedena pod fyzickou adresou ve tvaru xx-xx-xx-xx-xx-xx. Poté, co jste aktivovali autentizaci, zapište do konfigurace routeru MAC adresy zařízení, kterým chcete spojení povolit. Chcete-li zjistit výrobce určitého zařízení – například kvůli aktualizaci firmwaru – zadejte MAC adresu na webové stránce www.techzoom.net/mac/index.asp – tam hledanou informaci najdete.
Zkušení hackeři mohou pro útoky příslušnými nástroji a komponentami použít jinou MAC adresu než tu stanovenou – takzvaný MAC spoofing. Přesto však tímto ochranným mechanizmem práh pro proniknutí do své sítě o něco zvyšujete – koneckonců musí hacker nejprve zjistit, které MAC adresy jste zapsali.

11. Dokonalé heslo

I když heslo je pouze jednou z překážek, neměli byste to potenciálním vetřelcům usnadňovat ani v tomto bodě. Heslo, které je příliš jednoduché, je rychle překonáno. Aby představovalo dobrou ochranu proti hackerským pokusům, nesmí být příliš krátké. Měla by se v něm vyskytovat velká a malá písmena i číslice. Ale komplikované heslo si možná nezapamatujete a poznamenané na papír také nepatří k nejbezpečnějším řešením. Existuje ovšem užitečný trik: větu si lze zapamatovat snadněji než kryptickou kombinaci písmen. Ten, kdo sestaví heslo z počátečních písmen nějaké věty, na snadno zapamatovatelných místech použije velká/malá písmena a zvláštní znaky a navíc některá písmena nahradí číslicemi, udělá pro svoji bezpečnost skutečně hodně. Pokud si přitom vytvoříte určitá pravidla, můžete si výsledek i dobře zapamatovat. Například místo předložky „pro“ použijte číslici 4 – vždyť anglické „for“ zní skoro stejně jako „four“. Podobně to platí pro „pět“ a „5“ například „Z5“ jako „zpět“) nebo „jeden“ a „1“. Případně se inspirujte tvarem písmen. Například můžete nahradit „E“ číslicí „3“, „S“ pětkou nebo písmeno „l“ číslicí „1“. Příklad „rd5Hj4hpF!“ vychází z věty „Rozluštit dobře sestavené heslo je pro hackera pořádná fuška!“. Povolte prostě uzdu fantazii. Důležité je, abyste nepoužili žádné přísloví nebo oblíbený citát – to by bylo opět příliš jednoduché. Úplná věta jako heslo však také není vhodná – i když je pak heslo mnohem delší – neboť věty lze snadno rozluštit přes slovníkové útoky.

12. Zašifrujte síť pomocí WPA
Poté, co jste si vymysleli bezpečné heslo, si ještě musíte zvolit správné šifrování. WEP není bezpečným řešením (viz bod 4) – bez ohledu na to, jak složité je heslo. V současné době je za bezpečný považován standard WPA/WPA2 (Wi-Fi Protected Access), pokud heslo není triviální a je dostatečně dlouhé. Mělo by mít alespoň 30 znaků. WPA má však jednu nevýhodu: bezpečné zašifrování spojení snižuje jeho přenosovou rychlost a vyžaduje od připojených PC větší výkon. Protože se uWLAN ale téměř vždy jedná o internetové spojení, nehraje to v praxi skoro žádnou roli – pouze když chcete přenést z jednoho PC na druhé extrémně velké množství dat, musíte čekat déle. Pro tento případ se ale vyplatí se alespoň krátkodobě připojit k „drátové“ síti – switch a kabely pro připojení PC stojí dohromady okolo 1 500 Kč. Protože drátové spojení není závislé na radiovém signálu, nelze je ani odposlouchávat a při zaručených 100 Mb/s jde o velmi rychlý přenos dat. A potřebnými připojovacími zdířkami jsou moderní notebooky a PC stejně vybaveny.

13. Používejte firewall
Ve většině routerů je integrována funkce firewallu, kterou byste měli rovněž aktivovat. Tímto způsobem může router odvrátit nejčastější útoky z internetu sám. Vždyť i ostatní počítače ve vaší síti jsou vystaveny útokům, které jsou vedeny přes internet. A firewall routeru proti nim poskytuje obzvláště spolehlivou ochranu.

14. Povolte jen to nejnutnější
Nastavte firewall tak, aby povoloval jen ta spojení, která skutečně potřebujete. Spojení PC se službami na internetu fungují přes určité identifikátory, jež se nazývají porty. Například webový server odpovídá na dotazy na portu 80, poštovní server přijímá e-maily na portu 25. Když některý port uzavřete, zabráníte přístupu k této službě v síti. Rovněž škůdci, například trojští koně, potřebují porty pro vytvoření spojení z vašeho PC na internet. Nebo jsou řízeni přes otevřené porty zvenčí. Informace o tom, které porty musíte mít stále otevřené a které byste měli zavřít, najdete v tabulce dole. Používáte-li programy, jež potřebují další porty, musíte je ve firewallu otevřít. Jak to celé funguje si ukážeme v bodě 15 o protokolu Bit Torrent pro sdílení souborů.

15. BitTorrent za firewallem
Jestliže chcete stahovat z internetu velké soubory, například volně dostupné filmy nebo distribuci Linuxu, nabízí se protokol BitTorrent a pro něj určený klient www.bittorrent.com, 5,7 MB). Využívá ho i oblíbená on-line hra World of Warcraft, aby bylo možné efektivně distribuovat záplaty o velikosti několika stovek MB. Problém je v tom, že za standardně konfigurovaným firewallem nefunguje Bit Torrent vůbec nebo jen velmi pomalu. Aby Bit Torrent mohl běžet plným tempem – rozuměj maximální rychlostí dostupného internetového spojení – musíte firewall nejprve vhodně nastavit. Port 6969 musí být otevřený v obou směrech. U hry World of Warcraft to platí pro port 3724. Tyto porty slouží pro komunikaci s tracker serverem, který koordinuje stahování. V obou případech musíte dále otevřít pro oba směry porty 6881 až 6889, přes něž probíhá vlastní výměna dat. Všechny porty musíte pomocí port forwardingu vždy přesměrovat na IP adresu počítače, který chcete pro Bit Torrent nakonfigurovat. Fungování port forwardingu je popsáno v manuálu k routeru. Přikážete tak firewallu, aby všechny příchozí datové pakety pro tyto porty přesměroval na PC s uvedenou interní IP adresou. Nezapomeňte, že PC, z něhož chcete Bit Torrent používat, musí při každém spuštění obdržet stejnou IP adresu, protože jinak byste museli firewall po každém dalším startu PC znovu nastavovat. Informace o tom, jak a které IP adresy byste měli pro manuální přidělování používat, najdete v bodech 8 a 9.