Tech how-to, 7 Απλά βήματα για ένα πιο ασφαλές ασύρματο δίκτυο

15

Δεδομένης της ιδιαιτέρως ευάλωτης φύσης των Ασυρμάτων δικτύων, αυτά έχουν καταστεί θύματα συνεχών επιθέσεων, τις περισσότερες φορές με στόχο την απλή υποκλοπή πηγών πχ πρόσβαση στο Internet. Σαν κεντρικό βήμα γνωρίζουμε όλοι την Κρυπτογράφηση και Αυθεντικοποίηση (Encryption/ Authentication) χρησιμοποιώντας τα διαθέσιμα πρωτόκολλα του Router/ Modem μας. Παρόλα αυτά υπάρχουν μερικά επιπλέον στοιχειά που αθροιστικά μπορούν να βελτιώσουν σημαντικά την ασφάλεια του Ασυρμάτου Δικτύου μας.

1. Ενεργοποίηση Πρωτοκόλλων Αυθεντικοποιήσης και Κρυπτογράφησης
Προτιμάμε το WPA II που αποτελεί την ισχυρότερη και πιο αξιόπιστη μορφή για αυθεντικοποίηση και κρυπτογράφηση αυτή τη στιγμή για τα Ασύρματα Δίκτυα. Ούτως ή άλλως δεν αφήνουμε το δίκτυό μας σε καμία περίπτωση «ξεκλείδωτο».

2. Ενεργοποιώντας το MAC Filtering
Ενεργοποιούμε το φίλτρο του Δρομολογητή/Modem μας, έτσι ώστε μόνο συγκεκριμένες MAC διευθύνσεις να γίνονται αποδεκτές. Σε περίπτωση που χρειαστεί να συνδεθεί στο δίκτυο κάποιος άλλος χρήστης, τότε χειροκίνητα του δίνουμε αυτή τη δυνατότητα, πάντα μέσα από το Interface του Δρομολογητή/ Modem.

3. Απενεργοποιώντας τον DHCP Εξυπηρετητή
Aπενεργοποιούμε τον DHCP εξυπηρετητή, ώστε ακόμα και αν κάποιος συνδεθεί χωρίς την έγκριση μας στο ασύρματο δίκτυο, να μην λάβει ΙΡ διεύθυνση και συνεπώς να είναι αδύνατο να συνδεθεί στο Internet. Εννοείται πως σε αυτή την περίπτωση θα χρειαστεί να δώσουμε εμείς χειροκίνητα ΙΡ διεύθυνση στον υπολογιστή μας και να επιτρέψουμε να χρησιμοποιείται αυτή η διεύθυνση.

4. Ενεργοποιώντας την δυνατότητα για SSID Cloaking
Απενεργοποιούμε την εκπομπή του ονόματος του ασύρματου δικτύου μας (SSID CLOAKING). Κατ΄αυτόν τον τρόπο το δίκτυο μας δεν είναι άμεσα ορατό από τους «γείτονες» και δυσκολεύουμε περαιτέρω την προσπάθεια τους να συνδεθούν σε αυτό.

5. Ενεργοποιώντας την δυνατότητα για Access Point Isolation
Συνδεόμαστε στο Router/ Modem μας και (αν παρέχει την δυνατότητα) ενεργοποιούμε το Access Point Isolation. Κατ΄άυτον τον τρόπο ακόμη και αν κάποιος κακόβουλος καταφέρει να συνδεθεί στο ασύρματο δίκτυο, δεν έχει την δυνατότητα απευθείας επικοινωνίας με τους άλλους συνδεδεμένους υπολογιστές του δικτύου μας παρά μόνο με το Internet. Ως εκ τούτου διασφαλίζουμε λίγο περισσότερο τα προσωπικά μας δεδομένα.

6. Περιορίζοντας την ένταση του σήματος εκπομπής
Περιορίζοντας την ένταση εκπομπής του σήματος του Δρομολογητή/ Modem μας, δεν το αφήνουμε να πάει πολύ μακρύτερα από τους τοίχους του δικού μας χώρου. Ως εκ τούτου είναι λιγότερο προσβάσιμο από τους «γύρω» μας.

7. (για extreme περιπτώσεις) Εισάγοντας RF Shielding
Αν θεωρείτε ότι τα παραπάνω βήματα δεν είναι αρκετά για την ασφάλεια σας, προτείνουμε RF Shielding. Μπορείτε να βάψετε τους τοίχους με κατάλληλη μπογιά και να καλύψετε τα παράθυρα σας με κατάλληλη αυτοκόλλητη επίστρωση, τα οποία περιορίζουν την ένταση του σήματος που «βγαίνει» εκτός του χώρου σας. Βέβαια, εκτός αν έχετε την ιδιότητα του μυστικού πράκτορα, κάτι τέτοιο δεν κρίνεται απαραίτητο.

Τα παραπάνω βήματα εξασφαλίζουν σε μεγάλο βαθμό την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα του ασύρματου μας δικτύου. Οπωσδήποτε υπάρχουν πολλαπλά αντίμετρα για τον κακόβουλο επιτιθέμενο που μπορεί να ξεπεράσουν πολλά από αυτά τα εμπόδια πχ ειδικές κεραίες λήψης, λήψη πακέτων και έλεγχος ΙΡ διευθύνσεων, MAC spoofing κτλ. Παρόλα αυτά, η κεντρική ιδέα του άρθρου αυτού είναι η «Άμυνα σε βάθος», όπου εισάγοντας πολλαπλές διαδοχικές ζώνες άμυνας, στοχεύεις στο να καταστήσεις το δίκτυο σου μη ελκυστικό στόχο, στην συντριπτική πλειοψηφία των εισβολέων και συνεπώς να παραμείνει σε μεγάλο βαθμό ανέπαφο.

Το μοναδικό προαπαιτούμενο είναι καλή γνώση της χρήσης του Router/ Modem που έχουμε και φυσικά πολύ προσοχή στον πειραματισμό μας, για να μην καταλήξουμε να κλειδώσουμε απέξω όχι τον επιτιθέμενο αλλά τον εαυτό μας.

Παναγιώτης Γαλιώτου
Καθηγητής της Σχολής Πληροφορικής του Mediterranean College

Tech how-to, 7 Απλά βήματα για ένα πιο ασφαλές ασύρματο δίκτυο

Παρακολουθήστε τα σχόλια
Να ειδοποιηθώ όταν
guest
15 Σχόλια
Oldest
Newest
Inline Feedbacks
View all comments
Anastasios

8. σκοτωνουμε καθε γειτονα σε ακτινα ενος χιλιομετρου
9. ναρκοθετουμε τους γυρω δρομους και στενα

😛 πλακα κανω, καλες συμβουλες, καποιες απο αυτες θα τις εφαρμωσω, thanks

Delas

χαχαχαχαχα!!!! Anastasios +1

takis1994

Ρε παιδια , οι γειτονες μου δεν μου κανουν για hackerες..Οποτε αλλaζω απλα το κωδικο και ειμαι μια χαρα..:P

greeceandroid

Πολύ ωραία, πολύ ωραία.. Να δώσω κάποια ακόμα points;

1) πολύ σημαντικό βήμα φυσικά είναι να ΑΠΕΝΕΡΓΟΠΟΙΗΣΟΥΜΕ το WPS στο router μας (αν αυτό είναι διαθέσιμο)

Όταν είχε πρωτοβγεί το reaver-wps τρίβαμε τα μάτια μας που “σπάγανε” τα wpa για πλάκα.

2) Δεν είδα να αναφέρθηκε να αλλάζουμε τον default κωδικό. Πολλά modem/routers έχουν εξ αρχής wpa/wpa2 αλλά προβλέψιμο patern στον κωδικό (π.χ. netfaster, κάποια thomson της cyta κτλ), οπότε τον αλλάζουμε σε κάτι “δύσκολο”.

3) Τέλος είναι ΠΟΛΥ σημαντικό να αναφερθεί ότι αν κάποιος μπει στο Wifi μας ή αν αφήνουμε ανοιχτό το wifi μας, ο “γείτονας” δεν μας “κλέβει απλά internet”, αλλά μπορεί να βλέπει όλο το traffic μας, (συμπεριλαμβανομένων των site που επισκεπτόμαστε, των κωδικών μας κτλ).

(Στην διάθεσή σας για διευκρινήσεις)

Νιαου

τα points 2 3 4 δεν προσφερουν καμια προστασια, το μονο που θα καταφερεις ειναι να δυσκολεψεις την δικια σου ψηφιακη ζωη.

@greeceandroid και να απενεργοποιησεις το WPS εχει διαπιστωθει οτι ειναι εικονικο και δεν απενεργοποιειται η λειτουργια απο τον router.. οποτε ζητω το reaver 😛

alex

Εκπέμπουμε μόνο το πρωτόκολλο πού θέλουμε και όχι mixed mode το οποίο μπορεί να μας στερήσει σε ταχύτητα.

Διαλέγουμε ένα κανάλι που είναι σχετικά ήσυχο.

Στην τελική αν είναι να φτάσεις σε τόσο ακραία μέτρα πας στην πιο φθηνή λύση που λέγεται ethernet και δεν έχεις και παρεμβολές.

greeceandroid

@ Νιαου
Σε κάποια απενεργοποιείται πλήρως το WPS (ευτυχώς δηλαδή). Σε κάτι linksys όντως είχα συναντήσει να “απενεργοποιείς” το WPS και να μένει ενεργοποιημένο.

Μία αρκετά πλήρης (user created) λίστα με το ποιες συσκευές είναι ευάλωτες από το wps flaw, και αν το wps απενεργοποιείται πλήρως, μπορεί να βρεθεί googlάροντας “WPS Vulnerability Testing – Google Docs” (1ο αποτέλεσμα)

minas

αν και συνήθως ειπαρxουν πολλά δήθεν προγραματάκια που σπάνε δικτια χωρίς καμία ιδιετερη γνώση..έγω θα ήθελα να επιγκεντρώσω λίγο στο backtrack που είναι στην ουσία ο βασιλιάς σε αυτά κ πλέον για καπια λιτουργίες του όπως cracking κλιδια δικτίων είναι πλέον πόλη εύκολο κ αρκετά εύκολα βρίσκης μπόλικα howtoo videos το backtrack έχει 4 – 5 μεθόδους για να γίνη ένα crack στο pass μας..καπιες είναι σχετικά πιο εύκολες ανάλογα με την κρυπτογράφηση και ανάλογα μπόρι να χριαζετε καπιον συνδεδεμένο στο ρούτερ ώστε να πάρη καπιες πληροφορίες η ισχυρότερο σήμα ώστε να βρει τον κωδικό… κρυπτογράφηση wep …ότι πιο εύκολο για να σπαση..δεν χριαζετε ιδιετερα δυνατό σήμα ούτε καπιον χρήστη να είναι συνδεδεμένο στο router …τη 8 ψηφία η 26 το πόλη σε ένα 30 λεπτό έχει βρει τον κωδικό κ ας έχουμε μικρά κεφάλια γραματα κ ψηφία δεν δισκολεβετε να τα βρει …οπότε ξεχνάμε wep κρυπτογράφηση.. wpa και wpa ιι …σχετικά έχουμε καπιες πιθανότητες να μην το σπάσουν αλλά δεν είναι 100 %…ειπαρξουν 3 τρόποι για να γίνη αυτό.. Α’) wps ότι ξηρότερο έχει κυκλοφορηση με θέμα την ασφάλια τα τελευτεα χρόνια (google για να διτε τη είναι)που τα περισότερα ρούτερ πλέον κ με πόλη κακό τρόπο φτιαγμένα σε… Συνέχεια »

Δημήτρης

Σωστοί οι προλαλήσαντες, εγώ απλά θα πρόσθετα την παρακολούθηση του arp table καθώς και την δρομολόγηση των πακέτων, ή πιο απλά την απόκτηση ενός router που να δέχεται openwrt ή dd-wrt και από εκεί και πέρα πρόσβαση με telnet/ssh στο router και κατάλληλη παραμετροποίησή του ώστε ακόμα και αν κάποιος καταφέρει με οποιοδήποτε τρόπο να μπει στο router, να βρείτε ποιος είναι και τι κάνει και να του κάνετε και εσείς με την σειρά σας αντίστοιχο καψόνι… LOL

Υ.Γ. Επειδή τα περισσότερα κενά ασφαλείας πηγάζουν από pebkac καταστάσεις η καλύτερη λύση είναι η συχνή/τακτική αλλαγή πληκτρολογίου και καρέκλας, τουλάχιστον αυτό συνιστούν 129 κατασκευαστές πλυντηρίων… LOL

Εnder

Α ρε ΕΤΗΕΡΝΕΤ που σας χρειάζεται…! 🙂

greeceandroid

Μπράβο πάντως κύριοι, βγαίνουν τελικά ωραία συμπεράσματα από τις συζητήσεις στο techblog Φίλε mina μου κατ αρχάς ευχαριστούμε για τον κόπο σου να ξεκαθαρίσεις τα πράγματα. Έχω κάποιες μικρές ενστάσεις, αλλά χοντρικά είσαι up-to the point. Στην μέθοδο “Β” η attack με την wordlist ΔΕΝ γίνεται στο router, αλλά στο 4-way handshake που έχεις κάνει capture με το airodump. Οπότε ΔΕΝ βοηθάει να κάνεις restart το router. Φυσικά εδώ απαιτείται να συνδεθεί εκείνη την στιγμή κάποιος client για να κάνουμε capture το handshake (ένα hash είναι). Αλλιώς αν υπάρχει κάποιος ήδη συνδεδεμένος μπορούμε να προσπαθήσουμε να τον κάνουμε de-authenticate, για να κάνει re-authenticate με το aireplay-ng -0. Η μέθοδος “Γ” είναι “παραλλαγή” της μεθόδου Β, και συνεχίζει να απαιτεί wordlist για να σπάσει. Απλά φτιάχνοντας ένα “fake” a/p που μιμείται κάποιο κανονικό, πιάνεις κάποιες φορές πιο εύκολα το handshake που απαιτείται για την wordlist attack. Δηλαδή ακόμα και να φτιάξεις εσύ το ψεύτικο access point, ο υπολογιστής του “θύματος” δεν στέλνει σε clear text τον κωδικό, πρέπει και πάλι να σπάσεις το hash, οπότε ένας “δυνατός” κωδικός αποτρέπει τον “κακό” τύπο. Συνοψίζοντας, επιλέγουμε wpa/wpa2 με δύσκολο/μεγάλο/μη προβλέψιμο κωδικό, απενεργοποιούμε το wps (και επιβεβαιώνουμε ότι είναι απενεργοποιημένο) για να αποτρέψουμε άλλους… Συνέχεια »

GiannisWST

Λολ! ολα τα ρουτερ/wifi hotspots ειναι μεσα στα επιτρεπτα ορια, ακομα και κατι τερατακια με 2 ή 3 κεραιες και κατευθυνομενες με ανεβασμενη ευαισθησια χαιδευουν το οριο αλλα δε το ξεπερνανε. Εκτος αν βαλετε aftermarket κεραια εξτρα. Τοτε τα 15-20 εκατοστα αποσταση ασφαλειας μπορει να γινουν και μετρα αναλογα με το που κοιταει η κεραια. Καλο ειναι να αποφευγουμε οσο μπορουμε το ασυρματο, ακομα και αν μας βομβαρδιζει ο γειτονας με το δικο του. Οι συνεπειες ειναι κατι που ακομα οι μελετες δεν μπορουν να μετρησουν και να αποδειξουν.

Δυστυχως το λεει ενας ανθρωπος με ενα ρουτερ wifi και 2 ασυρματα extenders μονιμα ανοικτα στο σπιτι εξαιτιας των mobile συσκευων. Μακαρι να μη τα ειχα αναγκη και να μη βαριομουνα να τα κλεινω καθε φορα. Τρωμε το ασυρματο στη δουλεια ή εξω καθημερινα μη το τρωμε και διπλα μας στο σπιτι.

Ενας μελλοντικος οδηγος και με στησιμο μεγαλωμα του ηδη υπαρχοντος ασυρματου θα ειναι επισης χρησιμος για οσους ψαχνονται. Την πατησα ηδη μια φορα με ενα modem που ηταν wifi extender αλλα δεν ειχε δυνατοτητα να παιρνει ip αποτο ρουτερ, παρα να δινει τα δικα του… Χαος εγινε. Δεν ειναι τοσο ξεκαθαρες απο μερικες εταιριες οι δυνατοτητες αυτες.

Stam&Akis (the humorists)

Minas, τι το ήθελες αυτό το τελευταίο που είπες; Aυτά που έγραψες τα έβγαλε το google translate; Χάνεις το δίκιο σου έτσι, και δεν μπορούμε να πιστέψουμε και τα προηγούμενα που λες.

Αλλά ας πούμε ότι ισχύουν. Είναι τόσο θεωρητικά, που στην πράξη πολύ δύσκολα εφαρμόζονται. Γιατί θεωρητικά και στο PC σου μπορούν να μπουν Ελληνικά, αλλά στην πράξη δεν το βλέπω να γίνεται.

Αυτά. Εμένα το PC μου δεν έχει οθόνη αυτή τη στιγμή, αλλά κατάφερα να γράψω αυτό το post χωρίς χέρια.

Βασιλης

Εξαιρετικά χρήσιμο και κατανοητό το άρθρο. Από εκεί και πέρα ο καθενας επιλέγει και εφαρμόζει αυτά που θεωρεί απαραίτητα.

minas

hahahaha Stam&Akis (the humorists) το τελευταιο που είπα είναι ότι δεν τα έκανε το google translate από αγγλικά σε ελληνικά γιατί τότε άκυρο θα είταν όλο το reply που έκανα..απλά έκανε τα greeklish με ελληνικούς χαρακτήρες:) παντός η θεωρίες σου μου αρέσουν..ναι εύκολο είναι να βάλω και τα ελληνικά αλλά δεν έξω keyboard με ελληνικούς χαρακτήρες και η μνήμη μου έχει εξασθένηση με την ορθογραφία.

greeceandroid ναι με την μέθοδο β έχεις δίκιο δικό μου λάθος..με την μέθοδο γ ειπαρχουν παραλαγές γίνετε έτσι όπως λες αλλά γίνετε και σαν απλό fake ap που απλά καταγραφή ότι πατήσι το θύμα..σε ευχαριστώ παντός!!

Αυτός ο ιστότοπος χρησιμοποιεί cookies για να βελτιώσει την εμπειρία χρήσης. Αποδοχή Περισσότερα