Kuidas tõsta koduse WiFi-võrgu turvalisust

Wifi.

FOTO: Ants Liigus / Pärnu Postimees

Starmani tehnikadirektor Hanno Liiva tõdeb, et koduse WiFi-võrgu puhul ei ole kunagi sajaprotsendilist garantiid, et mõni võõras võrgule ligi ei pääse. Ta annab 8 lihtsalt näpunäidet, mida järgides on võimalus oma võrgu turvalisust oluliselt tõsta.


1. Võrgunimi (SSID)

Tegu on identifikaatoriga, mida WiFi tugijaam saadab välja andmaks teada, et selline võrk eksisteerib. Esimese asjana võiks mõelda, milleks meil on üldse vaja oma võrgu nime eksponeerida - teame seda ise ju nagunii. Peaaegu igal ruuteril või tugijaamal on võimalus ära keelata SSID väljahõikamine (Broadcast SSID).

Siinkohal peab aga märkima, et mõned seadmed (arvutid, nutitelefonid) võivad keelduda peidetud võrguga ühendumast, aga valdavas osas mitte.

Võrgunime (SSID) valikul, olgu see siis kas peidetud või avalik, on mõistlik hoiduda igasugusest personaliseerimisest ja viidetest seadme tüübile või interneti teenusepakkujale.

Mida ilmetum on võrgu nimi, seda vähem anname me potentsiaalsele kurjategijale infot, kust võrk pärineb, milliseid seadmeid kasutatakse ja millise interneti teenusega see seotud on. Täiesti vabalt võiks kasutada suvalist numbrite ja tähtede jada.

2. Võrgu krüpteering (Security encryption)

Kindlasti tuleb sisse lülitada võrgu krüpteering ehk tehnoloogia, mis krüpteerib andmeside arvuti ja ruuteri vahel, et seda poleks võimalik lihtsate vahenditega pealt kuulata. Võrreldes tavalise võrgukaabliga, kus me saame rakendada füüsilist tõket, ei ole läbi õhu levivate andmepakettide puhul kaitse muul moel võimalik.

Täna võib kindlalt öelda, et krüpteerimismeetod WEP on oma aja ära elanud ja selle kasutamine võrdub peaaegu lahtise võrgu pidamisega. Huvilisel on võimalik WEP võti lahti võtta väga kiiresti. Seega, kui meil ei ole võimalik kasutada muid protokolle kui WEP, siis oleks mõistlik ruuter või seadmed välja vahetada.
Mõistlik oleks kasutada vähemalt WPA või WPA2, mis on kõigil tänapäevastel ruuteritel ja seadmetel kenasti toetatud. WPA ja WPA2 võtmete (passphrase) valikul kehtib põhimõte, et mida keerulisem ja pikem, seda uhkem. Kindlasti ei tohi kasutada kergesti äraarvatavaid kombinatsioone. Pealtkuulamine ja lahtimuukimine on nende protokollide puhul seda keerulisem, mida keerukam on võti.

3. Ruuteri salasõna ja ligipääsupiirang

On elementaarne, et olemasolev vaikimisi ruuteri salasõna (parematel ruuteritel ka kasutajanimi), on mõistlik ära vahetada esimesel võimalusel. Salasõna valikul lähtume taas printsiibist, et mida keerulisem, seda turvalisem.

Lisaks tuleks veel tähele panna lisavõimalust: nimelt on sageli võimalik keelata ruuteri administratsiooniliidesele ligipääs WiFi võrgust. See tähendab, et liidesele pääseb ligi ainult juhtme kaudu, mis vähemasti teoreetiliselt võiks lisada turvalisust, eriti just avalikes või poolavalikes võrkudes.

Samamoodi oleks mõistlik kontrollida, kas ja kuidas on ruuter interneti poolelt hallatav. See küll otseselt ei puuduta WiFit, kuid võrgu turvalisuse seisukohast on üsnagi oluline. Kui ruuteril on võimalik administratsiooniliidesele interneti poolelt IP aadressi põhiselt ligipääsu lubada, oleks mõistlik see keelata või kasutada ainult tungival vajadusel.

4. AP-isolatsioon

Tegemist on võimalusega eraldada üksteisest WiFi kliente, luues igaühele oma virtuaalse (nähtamatu juhtme) ühenduse ainult tugijaama ja kliendi vahel. See võimaldab vähendada teise WiFit kasutava kliendi pealtkuulamise ohtu. Eriti mõistlik on seda kasutada avalikes või poolavalikes võrkudes.

5. MAC-aadresside list

Enamik ruutereid võimaldab seada WiFi klientide jaoks personaalseid MAC-aadressidel põhinevaid ligipääsuliste. See ei ole otseselt küll turvameede, kuna MAC-aadressid on hõlpsasti võltsitavad, kuid nende äraarvamiseks on vaja ikkagi võrku pealt kuulata ja see tekitab pahategija jaoks kindlasti tüli ka siis, kui suudetakse võrgu salasõna ära arvata.

Kui kodus on mingi kindel arv arvuteid ja külalisi käib harva või üldse mitte, on listide kasutamine mõistlik. Kindlasti tuleb tähele panna, et neid liste saab tekitada kahtepidi: kas ligipääs on ainult neil, kes listis või vastupidi - neile on võrgu kasutamine keelatud.

6. DHCP serveri konfiguratsioon

Taas kord pole tegemist otseselt turvameetmega, kuid see võib lisada teatavat väärtust. Kui teil on kodus kindel arv arvuteid, siis võiks ruuter ka täpselt niipalju IP-aadresse välja anda, mitte rohkem. See on hea, sest kui kõik arvutid on töös või IP-aadressid välja jagatud, ei ole uuele tulijale enam vabu aadresse ja ühendus jääb loomata. Muidugi võib võõras endale IP- aadressi käsitsi sisse kirjutada, aga see on ebamugav takistus, millele peab aega kulutama.

On ka ruutereid, mis ei võta staatilise IP- aadressiga kliente üleüldse jutule (kui need nii seadistada). Samamoodi võimaldab osa ruutereid siduda konkreetse kliendi MAC-aadressi konkreetse IP-aadressiga (ip reservation) ja ülejäänud välistada. Jällegi ninanips «külalisele».

7. Kõikvõimalikud ajalised piirangud

Mõned ruuterid võimaldavad interneti kasutamist piirata kellaajaliselt ehk kui te öösel internetti ei kasuta, võib ruuterile öelda, et ka temal on sel ajal uneaeg. Teinekord osutub selleks hoopis päevane aeg, kui olete koolis või tööl.

8. 5GHz võrk 2,4GHz asemel

Kõigil ei pruugi olla 5GHz sagedusel töötavaid WiFi seadmeid (ka kurjategijal mitte), aga kui teil on need olemas, siis miks mitte kasutada. Lisaboonusena tuleb kaasa, et kui eetrimüra 2,4Ghz sagedusel on täna juba üleküllastunud ja mõnes kohas muutnud kasutamise suisa võimatuks, naudite 5GHz sagedusel suure tõenäosusega privaatset vaikust.

Seega, tegelikult saab turvalisuse tõstmiseks nii mõndagi ise ära teha. Üldjuhul kehtib reegel: mida parem ja kallim ruuter, seda rohkem on kõikvõimalikke lisavõimalusi alates mitmetest, teineteisest eraldatud pääsupunktidest (SSID) kuni väga võimsate ja peenelt seadistatavate tulemüürilahendusteni välja.

Toimetus ootab lugejate küsimusi
Saada
Tagasi üles
Back