Няколко съвета за сигурност на домашната безжична мрежа

Честно казано – винаги ми се е струвало, че сигурността на домашните мрежи не само не е подценявана, както “твърдят експертите” (хубав израз, но тук го ползвам с ирония), но и всъщност като цяло – криворазбрана от потребителите. Ако си вземете рутер, единственото, което наистина е задължително да направите, е да последвате първите три съвета от списъка по-долу. Работата е там, че, ако като мен, живеете на място, където мрежовата ви карта хваща поне двайсетина мрежи, а сградите не са наблъскани с по 200 апартамента, надали около вас ще  е пълно с недоброжелатели. И въобще – хакерите не са хора без работа, които цял ден се опитват да се логнат в чуждите компютри, за да им откраднат порното или снимките от рождения ден, но пък е в интерес на хората, занимаващи се със сигурност, да натякват постоянно колко е несигурно да оставите мрежата си без 1001 защити, понеже накрая или ще ви продадат услугите си, или софтуер, или по-напредничав рутерV Ако обаче искате просто една мрежа, колкото да споделите интернета или файлове вкъщи, е достатъчно да минете през няколкото стъпки по-долу, от които задължителните са малко, а останалите са препоръчителни само, ако знаете с какво се захващате и ви се чете.

Задължително!

Сменете паролата и името на административния акаунт на рутера
Всички безжични рутери идват с администраторски акаунт, който е еднакъв за всички рутери в серията или дори всички безжични рутери на производителя. Първата ви работа, след като го намерите в ръководството или на етикета на самия рутер, е да влезнете в администраторския интерфейс (повече информация в ръководството на рутера) и да промените паролата и името на администраторският акаунт в настройките. Първото е задължително, за да не може да се логне някой друг, освен вас, а второто – препоръчително, за да го затрудните съвсем.

Пуснете WPA или WEP криптиране
По-долу ще дам по-сигурна алтернатива на този метод, но на първо време – пуснете един от двата метода за сигурност, който е съвместим с останалите ви устройства – по-добре да е WPA с парола, която знаете само вие. Така няма да позволите на други хора около вас да ползват връзката ви. Само за примера – почти няма сграда в центъра на София, в която да не намерите една-две отключени (и то съвсем не по желание на собственика) мрежи, в които може дори да се логнете като администратор на рутера и да му смените настройките. С първите две стъпки ще затрудните това неимоверно.

Променете името на мрежата си (SSID)
Обикновено рутерите от един вид идват с име – моделът на рутера. Ако искате да улесните намирането на своя рутер на места, където има много други мрежи, ще ви е много, много по-лесно да я намерите. Освен това – ако някой реши да влиза в мрежата ви, това, че вижда непроменен SSID е много добър признак, че никой не е пипал настройките на рутера. SSID се променя в поле в интерфейса на рутера (повече информация в ръководството).

Освен това при много рутери може да се укаже да не се излъчва, като после при опит да се свържете ще трябва ръчно да въведете SSID, към което компютъра или друго WiFi устройство да се върже, защото няма да се показва в списъка с достъпни мрежи. Последното е малко по-сложен вариант, който може и да не разберете, ако нямате опит, но е опция, която не бива да подминавате с лека ръка, ако не връзвате различни устройства към рутера постоянно, когато би ви пречило.

Препоръчително!

Изключете DHCP
Динамичното разпределение на IP адреси е много, много удобно – толкова, че ако включвате често устройства, е по-просто да го оставите включено. Ако обаче имате няколко свързани компютъра и устройства към рутера, които не променяте, е по-удобно да им назначите IP адреси и да ги свързвате с тях. Това означава, че ще се наложи да въвеждате IP адрес в настройките на мрежовата връзка на всяко от тях, обаче, което също не е елементарно упражнение за хора, които не знаят как става това. В допълнение – пускането на статични адреси улеснява т.нар. port forwarding или прехвърлянето на информация, постъпила на даден порт, директно към дадено свързано устройство. Полезно за много неща, едно от които са торентите и игрите, но като цяло е функция за напреднали. Много рутери имат UPnP (Universal Plug and Play) функция, която позволява тези неща да се осъществяват автоматично. Което е улеснение, също като динамичното раздаване на IP адреси – в случая аз си ползвам и двете, защото съм мързелив, що се отнася до настройките, и често включвам различни лаптопи в мрежата си.

Пуснете Firewall
Почти всеки нормален рутер има защитна стена и тя е включена по подразбиране. Целта е да защитава домашната ви мрежа от атаки, но може да допълните това и с Firewall на самият компютър (не важи, ако сте с друг вид устройство, предполагам). Вградената в Windows защитна стена предизвиква смях в по-напредналите потребители, но е достатъчна като за начало. В комбинация с антивирусен софтуер ще осигури поне базова сигурност на компютъра ви, плюс това никога няма да страдате от проблеми с настройките, каквито бихте имали с по-добър софтуер за защита.

Използвайте предварителните схеми за типа мрежа в Windows
Windows 7 и Vista почти винаги питат какъв е типа на мрежата при включване в нова такава – домашна, офис мрежа или такава със свободен достъп. Ако укажете правилно каква е, се променят и настройките за споделяне на файлове или достъп до компютъра. Когато влизате в отворени мрежи, използвайте подходящата настройка в Network and Sharing Center.

Използвайте филтриране по MAC адрес
Сигурно сте попадали на мрежи, които при опит да влезнете в тях, макар да изглеждат като отворени, не ви позволяват да го направите. Това е, защото в тях е пуснато филтриране по MAC адрес – всеки мрежов адаптер и въобще – устройство има такъв. Разбира се, тази настройка изисква известни познания, но като цяло в нета се намира и доста информация как да я направите. Например тук има базово ръководство. Повечето устройства поддържат смяна на MAC адреса, така че това не е гарант за сигурност, и въпреки това – дори доставчиците на интернет го ползват, поради което, когато си смените рутера или включите рутер, често може да не може да се свърже към доставчика. Ако просто нямате интернет, а рутерът индикира, че всичко е наред, това може да е ограничение по TTL – което аз лично бих поискал от доставчика да махне, ако не е съгласен – бих сменил интернет провайдъра (зная, че има рутери, които се справят с това, но въпросът е принципен, все пак не живея в Студентски град).

Поставете рутера на правилното място
Ако може да изберете мястото на рутера у дома – най-добре за скоростта е той да е в центъра на дома, така че да осигурява добро покритие навсякъде. В обикновен апартамент обаче това означава също, че ще усилите покритието над съседни жилища, т.е. ще улесните някой недоброжелателен съсед. Ако не искате това да се случва – поставете го близо до външната стена на жилището, противоположна на изхода – по този начин ще покрие достатъчно от важните места в дома ви (е, евентуално сигналът може да е по-слаб в тоалетната, ако е до вратата :), а е много по-малко вероятно някой да обикаля отвън с ноутбук в търсене на мрежи, отколкото да имате злостно съседче с желания да стане хакер.

Може би бих добавил и да изключвате рутера, ако няма да го ползвате дълго, но това, както и прокарването на жична връзка към него, са по желание на собственика. Аз лично съм на мнение, че някои уреди работят по-дълго, когато не ги включвам и изключвам постоянно (всички онези, които нямат standby или power on/off бутони).



11 коментара за “Няколко съвета за сигурност на домашната безжична мрежа

  • 20.12.2009 at 23:57
    Връзка

    Хубава статия. За мен най-ефективно е филтрирането по MAC, комбинирано с премахване на излъчването на SSID. Нещо, което не се вижда, е по-трудно да се хакне.

  • 21.12.2009 at 00:56
    Връзка

    Не знам дали всички мрежови у-ва имат възможност да се връзват към скрити мрежи. То така и така е забутано дори в Windows…

    А по MAC – прав си, най-добре така. Да не говоря, че може да се комбинира с WPA, скриването и статичните адреси.

  • 21.12.2009 at 02:58
    Връзка

    Доста устройства вече го поддържат – даже евтините ADSL рутерчета на Vivacom с WiFi имат скриване на SSID. А иначе лошото е, че масовите рутери бавят при закачане на повече компютри с WPA криптиране.

  • 21.12.2009 at 09:08
    Връзка

    ехее, то по- трудно от да си бучнеш кабела става така. Скрити ССИД, MAC филтри, статични адреси. Сложи си една WPA2 и това е.

    Скрития SSID може да се разбере, МАК-а може да се промени. То ако някой е толкова решен, че да хакне WPA2-то ти, другите само с поглед ще свали.

  • 21.12.2009 at 17:01
    Връзка

    Бе то и аз това разправям, но от друга страна – едно време колко сканирания в мрежата на Евроком ли беше, някой от ланаджиите ли.. нечовешко беше. Що да не ги затрудниш хлапетиите. Те чак толкова хакери не са :)

  • 21.12.2009 at 18:48
    Връзка

    Ако имате повече компютри и други мрежови устройства включени към рутера, една добра алтернатива за сигурността и производителността е използването на radius сървър. Ако имате някакъв линукс базиран сървър, който използвате, може да сложете radius сървър, който няма да натовари въобще системата.

  • 21.12.2009 at 23:38
    Връзка

    Че колко много да имам вкъщи? Дори не искам да зная какво е radius сървър (но ще ида да почета), честно! :)

  • 27.12.2009 at 21:54
    Връзка

    Аз моята мрежа съм си е оставил отворена, нещо като HotSpot :)
    Често ми се налага да кънектвам различни устройства и паролите ми създават проблеми. Само съм си сменил Login-а някой да не ми направи мръсотия :) Не че кой знае какво може да направи – най много да се наложи да си ресетна рутера :)

  • 02.01.2010 at 21:43
    Връзка

    WPA/WPA2 и забравяте да ви хакнат.

  • 28.01.2010 at 10:32
    Връзка

    Аз имах проблем с WPA2 – един от старите ми лаптопи се товареше и му забиваше мрежата с wpa2, та по този повод сковах следната конструкция:

    Имам PC с 2 мрежови карти, през едната ми влиза интернета, на другата съм включил WiFi рутерче (един от “LAN” портовете му), което има само MAC филтър и не криптира. На лаптопите, които ползват WiFi съм сложил по един OpenVPN клиент, които се закача към стационарното PC, което и NAT-ва VPN мрежата. По този начин хем мрежата е отворена и некриптирана, хем трафика не се поддава на подслушване, хем мога да закачам дърти устройства.

  • 13.09.2010 at 13:23
    Връзка

    когато ползвате WPA никога не слагйте е ГСМ номера или ЕГН-то си за парола
    когато ползвате WEP да знаете че все едно нищо не ползвате
    проблема не е че някой ще ви ползва интернета има по-лоши неща :-)


Остави коментар по темата...

Your email address will not be published. Required fields are marked *