Konfigurowanie sieci WiFi
Standard szyfrowania WPA/WPA2 zapewnia skuteczną ochronę sieci Wi-Fi. Warunkiem jest stosowanie silnych haseł, właściwa konfiguracja punktu dostępowego oraz przestrzeganie kilku podstawowych zasad bezpieczeństwa sieci bezprzewodowych.
Zasady bezpieczeństwa sieci bezprzewodowej definiowane są w konfiguracji punktu dostępowego (ang. access point) lub routera z funkcją Wi-Fi. W ustawieniach urządzenia wybieramy standard zabezpieczeń (sieć otwarta, WEP lub WPA/WPA2), a także definiujemy hasło współdzielone, które jest używane w trakcie przyłączania nowych komputerów i smartfonów do sieci bezprzewodowej.
Pierwszym krokiem po instalacji nowego routera lub punktu dostępowego musi być zmiana domyślnego hasła dostępu do konfiguracji urządzenia. Inaczej przypadkowe osoby będą mogły zalogować się do panelu zarządzania routera i zmienić jego konfigurację, w tym ustawienia zabezpieczeń sieci Wi-Fi.
Pierwszym krokiem po instalacji nowego routera lub punktu dostępowego musi być zmiana domyślnego hasła dostępu do konfiguracji urządzenia.
Standardy zabezpieczeń
Bezpieczeństwo sieci Wi-Fi zależy od rodzaju zastosowanego standardu szyfrowania danych. Przestarzały WEP (Wired Equivalent Privacy), ze względu na słabości w algorytmie RC4 jest podatny na złamanie, dlatego też w dobrze zabezpieczonych sieciach WLAN stosuje się silniejsze szyfrowanie WPA (WiFi Protected Access) oraz następcę tego standardu IEEE 802.11i (nazywany również WPA2). Warto dodać, że sieć Wi-Fi może zostać skonfigurowana bez zabezpieczeń. Taka sieć nazywa się otwartą, do której może przyłączyć się dowolne urządzenie będące w jej zasięgu.
Do złamania zabezpieczeń sieci WEP wystarczy zwykły laptop oraz oprogramowanie, które znajdziemy w internecie. Nie potrzeba do tego żadnej specjalistycznej wiedzy, a cała operacja zajmuje nie więcej niż kilka minut. Dopiero standard WPA/WPA2 daje dobrą ochronę sieci bezprzewodowych, pod warunkiem zastosowania odpowiednio silnego (złożonego) hasła. Dlaczego to takie ważne?
Złożone hasła
Znane są metody łamania zabezpieczeń WPA/WPA2, które bazują na metodach słownikowych i siłowych. Metody te polegają na sprawdzeniu różnych kombinacji haseł, tak aby odnaleźć to, które zostało użyte do zabezpieczenia transmisji danych.
Hasło współdzielone musi być długie i trudne do złamania. Dobre hasło powinno zawierać co najmniej kilkanaście znaków będących kombinacją symboli specjalnych, małych i wielkich liter oraz cyfr. Ważne jest, aby zmienić hasło po jego ujawnieniu lub odejściu pracownika z firmy. Dobrą praktyką jest regularna zmiana hasła WPA/WPA2 w ustalonych odstępach czasu np. raz na miesiąc. Nigdy nie należy udostępniać hasła do sieci Wi-Fi przypadkowym osobom.
Dwa warianty WPA/WPA2
Zabezpieczenia WPA oraz WPA2 mogą zostać skonfigurowane do pracy w jednym z dwóch wariantów – Personal oraz Enterprise. W wariancie Personal do zabezpieczenia transmisji używany jest jeden klucz współdzielony, używany przez wszystkich klientów (użytkowników), którzy przyłączają się do sieci Wi-Fi. Ten sposób zabezpieczeń sieci Wi-Fi jest najczęściej stosowany w domach, małych firmach oraz w miejscach publicznych. W wariancie Enterprise klucze szyfrowania przydzielane są indywidualnie dla każdego klienta z osobna. Ten typ zabezpieczeń dedykowany jest dla większych organizacji; jest bowiem trudniejszy we wdrożeniu i administrowaniu.
Ograniczanie zasięgu
Złamanie klucza WEP wymaga przechwycenia dużej ilości wektorów inicjujących IVs. W przypadku sieci zabezpieczonych WPA/WPA2 celem atakującego jest podsłuchanie tzw. for-way handshake, czyli czterech pakietów, jakie klient i punkt dostępowy wymieniają między sobą w trakcie dołączania użytkownika do sieci Wi-Fi.
Aby uchronić się przed podsłuchiwaniem należy zmodyfikować siłę nadawania punktu dostępowego
Aby uchronić się przed podsłuchiwaniem należy zmodyfikować siłę nadawania punktu dostępowego, tak aby objąć zasięgiem sieci bezprzewodowej wszystkie biura i pomieszczenia, ale jednocześnie ograniczyć propagację sygnału poza budynek. Moc nadawania sygnału zmienimy w konfiguracji punktu dostępowego. Domyślnie, większość urządzeń jest skonfigurowana tak, aby objąć zasięgiem sieci Wi-Fi jak największy obszar.
Filtrowanie MAC
Mechanizm filtrowania adresów MAC jest funkcją punktu dostępowego, która umożliwia kontrolowanie dostępu do sieci Wi-Fi na podstawie fizycznego adresu karty sieciowej (MAC) klienta. W obiegowej opinii funkcja filtrowania MAC ma istotny wpływ na bezpieczeństwo sieci, bowiem tylko komputery i urządzenia mobilne, których adres dodano na listę mogą przyłączyć się do sieci bezprzewodowej. W praktyce nie jest to żadne zabezpieczenie – atakujący może w prosty sposób podsłuchać i podszyć się pod adres MAC karty sieciowej uprawnionego użytkownika.