Kaheksa näpunäidet koduse wifi-võrgu turvalisuse tõstmiseks

Koduse wifi-võrgu puhul ei ole kunagi 100%-protsendilist garantiid, et mõni võõras võrgule ligi ei pääse, aga igaüks saab ise seda muuta turvalisemaks. Toon ära 8 lihtsalt sammu, mida järgides on võimalus oma võrgu turvalisust oluliselt tõsta ja vähendada tõenäosust sattuda rünnaku või ärakasutamise ohvriks.

1. Võrgunimi (SSID).

Tegu on identifikaatoriga, mida wifi tugijaam saadab välja andmaks teada, et selline võrk eksisteerib. Esimese asjana võiks mõelda, milleks meil on üldse vaja oma võrgu nime eksponeerida - teame seda ise ju nagunii. Peaaegu igal ruuteril või tugijaamal on võimalus ära keelata SSID väljahõikamine (Broadcast SSID).

Kui tegemist on avalikuks kasutamiseks mõeldud võrguga, siis ei ole selline lähenemine muidugi mõistlik, aga koduvõrgus - miks mitte. Siinkohal peab aga ära märkima, et mõned seadmed (arvutid, nutitelefonid) võivad keelduda peidetud võrguga ühendumast, aga valdavas osas mitte.

Võrgunime (SSID) valikul, olgu see siis kas peidetud või avalik, on mõistlik hoiduda igasugusest personaliseerimisest ja viidetest seadme tüübile või interneti teenusepakkujale. Mida ilmetum on võrgu nimi, seda vähem anname me potentsiaalsele kurjategijale infot, kust võrk pärineb, milliseid seadmeid kasutatakse ja millise interneti teenusega see seotud on. Täiesti vabalt võiks kasutada suvalist numbrite ja tähtede jada.

 

2. Võrgu krüpteering (Security encryption).

Kindlasti tuleb sisse lülitada võrgu krüpteering ehk tehnoloogia, mis krüpteerib andmeside arvuti ja ruuteri vahel, et seda poleks võimalik lihtsate vahenditega pealt kuulata. Võrreldes tavalise võrgukaabliga, kus me saame rakendada füüsilist tõket, ei ole läbi õhu levivate andmepakettide puhul kaitse muul moel võimalik.

Täna võib kindlalt öelda, et krüpteerimismeetod WEP on oma aja ära elanud ja selle kasutamine võrdub peaaegu lahtise võrgu pidamisega. Huvilisel on võimalik WEP võti lahti võtta ülikiiresti. Seega, kui meil ei ole võimalik kasutada muid protokolle kui WEP, siis oleks mõistlik ruuter või seadmed välja vahetada.

Mõistlik oleks kasutada vähemalt WPA või WPA2 protokolle, mis on kõigil tänapäevastel ruuteritel ja seadmetel kenasti toetatud. WPA ja WPA2 võtmete (passphrase) valikul kehtib taaskord põhimõte, et mida keerulisem ja pikem, seda uhkem. Kindlasti ei tohi kasutada kergesti äraarvatavaid kombinatsioone. Pealkuulamine ja lahtimuukimine on nende protokollide puhul seda keerulisem, mida keerukam on võti.

 

3. Ruuteri salasõna ja ligipääsupiirang.

On elementaarne, et olemasolev vaikimisi ruuteri salasõna (parematel ruuteritel ka kasutajanimi), on mõistlik ära vahetada esimesel võimalusel. Salasõna valikul lähtume taas printsiibist, et mida keerulisem, seda turvalisem.

Lisaks tuleks veel tähele panna lisavõimalust: nimelt on sageli võimalik keelata ruuteri administratsiooniliidesele ligipääs wifi võrgust. See tähendab, et liidesele pääseb ligi ainult juhtme kaudu ja mis vähemasti teoreetiliselt võiks lisada turvalisust, eriti just avalikes või poolavalikes võrkudes.

Samamoodi, oleks mõistlik kontrollida, kas ja kuidas on ruuter interneti poolelt hallatav. See küll otseselt ei puuduta wifit, kuid võrgu turvalisuse seisukohast on üsnagi oluline. Kui ruuteril ei ole võimalik administratsiooniliidesele interneti poolelt ip aadressi põhiselt ligipääsu lubada, oleks mõistlik see keelata või kasutada ainult tungival vajadusel.

 

4. AP isolation

Tegemist on võimalusega eraldada üksteisest wifi kliente, luues igaühele oma virtuaalse (nähtamatu juhtme) ühenduse ainult tugijaama ja kliendi vahel. See võimaldab vähendada teise wifit kasutava kliendi pealtkuulamise ohtu. Eriti mõistlik on seda kasutada avalikes või poolavalikes võrkudes.

 

5. MAC aadresside list

Enamik ruutereid võimaldab seada wifi klientide jaoks personaalseid MAC aadressidel põhinevaid ligipääsuliste. See ei ole otseselt küll turvameede, kuna MAC aadressid on hõlpsasti võltsitavad, kuid nende äraarvamiseks on vaja ikkagi võrku pealt kuulata ja see tekitab pahategija jaoks kindlasti tüli ka siis, kui suudetakse võrgu salasõna ära arvata.

Kui kodus on mingi kindel arv arvuteid ja "külalisi" käib harva või üldse mitte, on listide kasutamine mõistlik. Kindlasti tuleb tähele panna, et neid liste saab tekitada kahtepidi: kas ligipääs on ainult neil, kes listis või vastupidi - neile on võrgu kasutamine keelatud.

 

6. DHCP serveri konfiguratsioon.

Taaskord pole tegemist otseselt turvameetmega, kuid see võib lisada teatavat väärtust. Kui teil on kodus kindel arv arvuteid, siis võiks ruuter ka täpselt niipalju ip aadresse välja anda, mitte rohkem. See on hea, sest kui kõik arvutid on töös või ip aadressid välja jagatud, ei ole "uuele tulijale" enam vabu aadresse ja ühendus jääb loomata. Muidugi võib võõras endale ip aadressi käsitsi sisse kirjutada, aga see on taaskord ebamugav takistus, millele peab aega kulutama. On ka ruutereid, mis ei võta staatilise ip aadressiga kliente üleüldse jutule (kui need nii seadistada). Samamoodi võimaldavad osad ruuterid siduda konkreetse kliendi MAC aadressi konkreetse ip aadressiga (ip reservation) ja ülejäänud välistada. Jällegi ninanips külalisele.

 

7. Kõikvõimalikud ajalised piirangud.

Mõned ruuterid võimaldavad interneti kasutamist piirata kellaajaliselt ehk kui te öösel internetti ei kasuta, võib ruuteile öelda, et ka temal on sel ajal uneaeg. Teinekord osutub selleks hoopis päevane aeg, kui olete koolis/tööl.

 

8. 5GHz võrk 2,4GHz asemel.

Kõigil ei pruugi olla 5GHz sagedusel töötavaid wifi seadmeid (ka kurjategijal mitte), aga kui teil on need olemas, siis miks mitte kasutada. Lisaboonusena tuleb kaasa, et kui eetrimüra 2,4Ghz sagedusel on täna juba üleküllastunud ja mõnes kohas muutnud kasutamise suisa võimatuks, naudite 5GHz sagedusel suure tõenäosusega privaatset vaikust.

 

Seega, tegelikult saab turvalisuse tõstmiseks nii mõndagi ise ära teha. Üldjuhul kehtib reegel: mida parem/kallim ruuter, seda rohkem on kõikvõimalikke lisavõimalusi, alates mitmetest, teineteisest eraldatud pääsupunktidest (SSID), kuni väga võimsate ja peenelt seadistatavate tulemüürilahendusteni välja.

Jaga