|
WLAN routerek beállítása lépésről lépésre
Nem elég megvenni
A drótnélküli hálózat (Wireless LAN, vagy WLAN) előnyei mindenki
számára ismertek. Annál kevesebbet tudnak viszont az emberek azokról a
biztonsági kockázatokról, melyek a WLAN eszközök
hanyag, vagy rossz beállításából erednek.
A szélessávú internet elterjedésével, és az olcsó routerek
megjelenésével együtt egyre népszerűbbé vált a WIFI használat. Ma már
szinte minden újonnan létesülő új otthoni hálózat WLAN routerrel
működik, de az eszköz helyes beállítása már meghaladja egy átlagos
felhasználó ismereteit. Napjainkban a legóvatosabb becslésem szerint is
a routerek több mint a fele mindenfajta védelem
vagy titkosítás nélkül csücsül az otthonokban és irodákban. Az
ADSL és kábeles netkapcsolaton üzemelő védtelen routerek
száma becsléseim szerint akár több százezerre is tehető szerte az
országban.
Ha WLAN-t használunk, és nem védjük le rendesen, akkor egyrészt
bárki fölkapcsolódhat a WAN-ra, (Wide Area Network = Nagykiterjedésű
Hálózat, ami ebben az esetben az
internetet jelenti), a mi
sávszélességünket szűkítve az AP (Access Point - a WLAN routerek beépített AP-vel rendelkeznek) hatósugarában, másrészt
hozzáférhetnek a belső hálón megosztott adatainkhoz, de akár kárt is
okozhatnak, ezért igen körültekintően kell eljárnunk.
Ha
régi vezetékes routerünk, esetleg kisebb hálózatunk van, melyen DHCP
üzemel, és azt kívánjuk vezeték nélkül is elérhetővé tenni, akkor
vehetünk hozzá egy különálló AP-t.
Ha ebben gondolkodunk, jól gondoljuk meg, hogy mit választunk, mert az
AP-k egy részében nincsen tűzfal, és semmilyen védelmi szoftver. Ha van
is bennük
titkosítás, akkor maximum a WEP-et (lásd lejjebb) használja, ami igen
könnyen feltörhető, főleg ha nagy adatforgalomra használjuk. Pedig ma
már a WPA2-t érdemes használni, ha biztonságot szeretnénk. Egy régebbi
AP-t VPN (virtuális magánhálózat) nélkül használva gyakorlatilag
védelem nélkül szórjuk a
dolgainkat az éterbe. Az újabb AP-k többsége (és az összes valamire
való router) azonban már támogatják a WPA2-t, azaz nem kell tőle
félnünk.
Régi AP-t csak akkor kezdjünk használni, ha virtuális magánhálózaton
kívánjuk használni. Ilyenkor az AP pusztán az adóvevő szerepét tölti be
a vezetékes (LAN) és a vezeték nélküli hálózat (WLAN) között. Az AP-t
egy külön erre a célra használt szerver felé routolják amelyen
valamilyen virtuális magánhálózati (VPN) kiszolgáló fut. A számítógépes
hálózatra csak megfelelő beazonosítás után lehet föllépni a VPN-en
keresztül. Az AP maga beengedi a gépeket, az azonosítás az utána lévő
kiszolgálón történik, s miután ez megtörtént, csak akkor kap jogot a
gép a hálózati műveletekhez. Ebben az esetben tehát nagyon lényeges,
hogy a gép és a szerver, így a belső hálózat közötti kapcsolat RSA-val
titkosított formában történik, tehát az AP-nek nincs szerepe a
védelemben. Ezeket az AP-ket inkább csak komolyabb hálózatok WLAN
kiterjesztéseként használják, magán célra nem, az említett megoldás
költségigénye miatt. (plusz egy számítógép kell hozzá + szoftver)
Egy elfogadható AP ára viszont
elriaszthatja azt aki így akarja fejleszteni az otthoni hálózatát. Egy
új, beépített AP-vel rendelkező WLAN router sokkal költséghatékonyabb
megoldás. A manapság már széles körben elterjedt
WLAN routerek VPN kiszolgáló nélkül is elfogadható szintű biztonságot
képesek nyújtani, feltéve, ha rendesen be is állítják őket. Ehhez
először
is csatlakozzunk föl a routerünkre hagyományos hálókártyán keresztül
(direktben) egy UTP kábellel. Ez azért is szükséges, mert a dobozból
kivéve a router vezeték nélküli része még nem üzemel, a szükséges
konfigurálást csak közvetlen hálózati kapcsolattal hozhatjuk létre. A
modern routerek http-n, azaz a böngészőn keresztül vezérelhetőek, és
könnyen belőhetőek, bár szükséges némi angol nyelvtudás hozzá.
Beállítások lépésről lépésre
A beállításhoz egy számítógépre van szükség hagyományos hálózati
kártyával, amit összekötünk a routerrel, mert WLAN kapcsolaton
keresztül nem lehet beállítani az eszközt. Kapcsoljuk be először a
routert, majd a számítógépet. A DSL Bridge/Kábel modem ne legyen
csatlakoztatva vagy bekapcsolva, amíg legalább a tűzfalat nem
aktiváltuk a routeren (ennek alapbeállításnak kéne lennie, de sajnos ez
nem mindegyik routeren van így), vagy olyan számítógéppel csatlakozzunk
a beállítás idejére, mely saját tűzfallal rendelkezik.
Első alkalommal még ha lehetőségünk is van rá (mondjuk mert használt eszközről van szó) ne WIFI-n,
hanem vezetékes hálózaton keresztül jelentkezzünk be a routerbe és úgy
ejtsük meg a beállításokat!
Mindenekelőtt azonban keressük meg a leírásban a routerünk belső saját IP címét.
Ez
lehet 192.168.0.1 (DLink) ,
192.168.1.1 (Linksys/TP-Link),
192.168.2.1 (SMC),
Akad olyan is, amelyiknél
paraméterezhető. Sőt a Netgear routerek esetében egyszerűen csak a
"routerlogin.net" címet kell beírni a böngészőbe.
Ha tehát megvan a cím, pötyögjük be a böngészőnk címsorába. Ha nincs kapcsolat,
akkor vagy a számítógépünk nincs beállítva DHCP fogadására, és így nem
kap IP címet a routertől, vagy a számítógép hálókártya drivere nincs (rendesen)
fölinstallálva a gépre, vagy egészen egyszerűen csak döglött a kártya,
vagy hibás az UTP kábel ami a gép és a router között van. Ha nincs ilyen gond és megvan a
kapcsolat, akkor írjuk be azt a gyárilag beállított felhasználónevet és/vagy jelszót, ami a
leírásban szerepel.
Sokan
szívtak már azzal, hogy a D-Link routerek leírásában "Admin" szerepel
felhasználónévként, mikor pedig "admin" a felhasználó. Kis kezdőbetűvel.
A routerek gyári állapotban, vagy hidegindítás (reset) után nem kérnek
jelszót, vagy egyszerű gyári jelszavuk van, amit mindenki ismer, azaz
azt nekünk kell beállítanunk, ha a routert nem akarjuk mindenkinek
kiszolgáltatni.
Gyári állapotban meglévő név/jelszó párosok ismertebb WLAN router típusoknál:
D-Link: admin/-
Linksys: -/admin
SMC: admin v. smcadmin/-
Netgear: admin/password
TP-Link: admin/admin
Bent vagyunk!
A
kereskedelemben kapható routerek többnyire elavult firmware-ekkel
kerülnek forgalomba, ami miatt gyakran akadnak működésbeli problémák,
rendellenességek. (Belassulás, fagyás, stb). Ezért még mielőtt
nekikezdenénk a beállítások sorának, töltsük le a gyártó oldaláról a
legfrissebb elérhető firmware-t, és frissítsük a routerünket! Ezt a
router beállító menüjének egyik oldalán tehetjük meg. A frissebb
firmware nem csak működési, de ismert biztonsági problémákat is
orvosolhat. Bölcsebb dolog a frissítést előre megtenni, mert
előfordulhat, hogy a frissítés során a beállítások az alapértékekre
állnak vissza, sőt néha a régebbi konfigurációs mentést (lásd később)
sem engedi visszatölteni, azaz ilyen esetben kezdhetjük elölről a
beállítási macerát.
Figyelem! Firmware-t csak abban az esetben frissítsünk, ha a folyamatos
áramellátás biztosított, mint a számítógép, mind a router esetében. Ha
lehet, használjunk szünetmentes áramforrást! Egy a frissítés
közben érkező esetleges áramkimaradás ugyanis helyrehozhatatlanul
gallyra teheti a routerünket. Legalább arra figyeljünk, hogy ne olyan
időszakban (pl. amikor odakint vihar tombol) végezzük ezt a kényes
műveletet, amikor majdnem biztosak az áramkimaradások.
Ha készen vagyunk a frissítéssel, a legelső dolgunk még mindenek
előtt az legyen, hogy változtassuk meg a gyári jelszót, nehogy később
elfelejtsük! Nagyon sokan elkövetik azt a hibát, hogy változatlanul
hagyják a gyári jelszót, ezzel szabad utat nyitva mindenkinek aki a WAN-ról
(tehát az internetről) érkezik. A gyári jelszó gyártónként eltérő, de
mindegyik típusnál azonos, vagyis ennek ismeretében bárki bele tud
túrni a routerünkbe, és átveheti az irányítást a router, majd a gépeink fölött. Új
jelszavunk lehetőleg minél bonyolultabb legyen, de ne felejtsük el ha
lehet, különben kezdhetünk mindent elölről, ha valamit állítani kell utólag a routerben.
Kapcsoljuk ki a Universal Plug and Play (UPnP) szolgáltatást a
routerben. Ez a hanyag módon kialakított szabvány mindig is
hordozott magában veszélyeket, ma már azonban
hatalmas
hiba bekapcsolva hagyni, ugyanis a UPnP ezen keresztül az
internetről azt csinálnak a routerünk beállításaival amit akarnak.
Ezen az úton nyitogatnak maguknak portokat a trójaiak. Ezek a Flash XSS-t (cross site scripting) használják a
behatoláshoz, azaz ha letiltjuk
a Flash animációkat, vagy szelektíven engedélyezzük őket pl. a
NoScript
nevű progival, akkor védekezhetünk is az ilyen fajta támadások ellen,
de ezzel megnehezítjük a saját böngészésünket is, és hát nem hiszem,
hogy ez bárki is akarná.
Sajnos a UPnP hiba az
összes gyártó összes routerét érinti, tekintve, hogy a UPnP saját
hibájáról van szó. Ha lehetséges, a későbbi firmware verziókban a
gyártók minden bizonnyal majd javítani fogják, de ez nem lesz olyan
egyszerű.
Ha
már egy ideje használjuk a routert, és eddig a UPnP-t netán bekapcsolva
hagytuk, akkor bizony előfordulhat, hogy fertőzöttek vagyunk, vagy
legalábbis már valaki meghackelte a routerünk beállításait. A UPnP
dolga normális esetben a megfelelő
portok nyitogatása az alkalmazások számára, de azt, hogy
mi van nyitva nem mutatja meg, ezért a biztonság kedvéért tedd
a következőt: szedd le a routerről a WAN kábelt, (azt az
UTP kábelt, ami a modem/bridge felé megy) a
router menüjében kapcsold ki a UPnP szolgáltatást, majd kapcsold ki és
be a routert. Újraindítás után nézd meg, hogy csak azok a portok
legyenek nyitva, amiket te állítottál be. ("rules and services" fül)
Ha valami más is nyitva van, akkor csináljunk egy hidegindítást (reset
gombocska a routeren) és kezdjük a beállításokat elölről, nem
elfelejtve, hogy kártevőmentesítsünk a routeren addig használt összes
számítógépet!
Az, hogy a UPnP-t nem szabad használni, mindössze annyi kényelmetlenséget jelent, hogy azoknak,
akik P2P hálózatokat használnak, vagy torrenteznek, saját maguknak
kell majd beállítani a port forwardingot. Ez pedig nem nagy ár a biztonságért.
Kapcsoljuk ki az SSID broadcast-et!
Az SSID a router azonosítója. Az értékét mi állítjuk be, ami bármi
lehet. A routerek alapbeállítása, hogy az SSID-t folyamatosan
sugározza magáról, (ezt nevezik SSID broadcast-nek) így mindenki láthatja a
környéken, hogy van a közelben egy ilyen és ilyen nevű router. Erre azonban abszolút semmi szükség egy otthoni
hálózat esetében, viszont feleslegesen felhívja magára a figyelmet.
Ha tehát nem nyilvános célra üzemeljük be a routert, akkor
kapcsoljuk ki az SSID broadcast-et!
Kapcsoljuk be a MAC címszűrést!
Ehhez szükségünk van a megvásárolt WLAN
kártyáink MAC címeire. A MAC fizikai cím, mely csak az adott darabra
jellemző. Ez egy 12 karakterből álló, kötőjelekkel elválasztott
hexadecimális kódsor, ami egy matricán szokott lenni a kártyákon. Némely
gyártó ezt a matricát nem ragasztja fel az eszközre, hanem a dobozában
helyezi el egy kis nylon tasakban. Ha ezt kidobtuk volna, vagy
elveszett, akkor sem kell pánikba esni. A MAC cím bármelyik
hálókártyánál hozzáférhető a parancssorból a következő utasítással: <ipconfig
/all>. A routeren használni kívánt gépen WLAN adaptereinek összegyűjtött MAC címeit sorban írjuk be a MAC címszűrő
részbe a routerben, és kapcsoljuk be a címszűrést!
Innentől kezdve csak az tud csatlakozni, aki a mi kártyáinkat
birtokolja. (Vagy tudja a kártyánk MAC címét, amire azért kicsi az
esély. Elvileg az adatfolyamból kihalászható, de csak akkor, ha valaki
gyenge titkosítást használ.)
A
WEP a leggyengébb titkosítás ami létezik. Tudni kell róla, hogy csak
egy ideiglenes megoldás volt a WPA megjelenése előtt.
Olyan is. A WEP használatát messziről kerüljük, különösen nagyobb
adatforgalom mellett, mert gyakorlatilag bárki által könnyen
feltörhető. Ha valami nagyon régi, a WPA-t nem támogató, csak WEP-re
felkészített hálózati eszközzel rendelkezünk, azt minél hamarabb
cseréljük le!
A jelenleg forgalmazott WLAN kártyák mindegyike támogatja a WPA-t,
és a WPA2-t is.
A Windows XP SP2-es gépeken, ha a WLAN adapter
drivere is támogatja (frissítés után általában menni szokott)
inkább használjunk WPA2-t, mert jelen pillanatban az a legbiztonságosabb. Értve ez alatt, hogy a sima WPA-t sikerült már feltörni a szakértőknek,
amire hamar reagált a feketepiac. Kínában pl. már komplett a WPA-s védelmet feltörni képes készleteket
is árulnak. A WPA2-vel egyelőre még nem ez a helyzet. A lényeg, hogy
alapszabály, hogy mindig az elérhető legerősebb titkosítást
használjuk a routerünkkel történő kommunikációhoz. Ehhez persze
elengedhetetlen, hogy l az adott titkosítási módszert ne csak a router,
de a számítógépünk WLAN adaptere is ismerje.
Régebben ajánlottam a WPA-PSK-t. Ez még támogatja ugyanis
a Windows Wireless Zero Configuration-t, (WZC) ami lehetővé teszi a
csatlakozást, külön szoftver installálása nélkül. Amióta azonban a UPnP probléma élesen felmerült, elfelejthetjük,
ugyanis a WZC nem működik UPnP nélkül. A WPA sebezhetőségének
kiderülése miatt viszont figyelnünk kell arra, hogy ne vásároljunk már
olyan WLAN adaptert, ami nem képes WPA2/AES-sel titkosítani.
A WLAN kártyák szoftveres beállító menüjében is lőjük be a már a
routeren kiválasztott titkosítást,
utána
indítsuk el a rendszert először DHCP-vel. Ha minden működik, akkor a már említett <ipconfig /all>
paranccsal kérdezzük le a gépre vonatkozó IP konfigurációt, (IP cím,
alapátjáró, stb) és jegyezzük föl a címeket, majd állítsuk be a gépeket
a megtalált IP címekre fixen, és a művelet végén kapcsoljuk ki a DHCP
szervert. Ha olyan gépet is akarunk használni, (pl. notebook) aminek
nem szerencsés, ha fix IP-re van állítva (mert hogy gyakran máshol is
használjuk), akkor a DHCP szervert
bekapcsolva hagyhatjuk a routeren, de ha nem muszáj így lennie, akkor
inkább kapcsoljuk ki, ezzel még egy fokkal megnehezítve, pontosabban
lehetetlenné téve azok dolgát,
akik be akarnak törni a rendszerünkbe. Mert ha még fel is törik a
WIFI-nk hozzáférési kódját, akkor sem kap a gépük IP címet, azaz nem
érnek el vele semmit sem.
A
routerek tűzfalát mindenképpen érdemes kihasználni. Hatékony, és
praktikus védelmet jelentenek, mert bár a kifelé menő (pl. a spyware-ek
által küldözgetett) forgalmat nem figyelik, a külső
támadásokkal sikeresen veszik fel a harcot. Egy esetleg
előforduló kártevő sem képes úgy kilőni, mint a számítógépeken üzemelő
tűzfalakat. Persze mivel ezek egyszerű passzív SPI (statful
pocket inspection) rendszerű védelmet alkalmaznak, önmagukban nem
nyújtanak elegendő védelmet egy aktív internet használónak.
Ha van
olyan opció a routeren, hogy "Discard ping to WAN" akkor azt kapcsoljuk
be. Ez pingelhetetlenné teszi a routert az internet felől, azaz ha valakinek
hackelgetni támad kedve, még véletlenül sem fog minket megtalálni.
Kívülről ilyenkor gyakorlatilag úgy viselkedik, mintha nem is
létezne.
Állítsuk be a PPPOE paramétereket, azaz a szolgáltatóhoz való
belépési adatokat.
Az elsődleges és másodlagos DNS beállításokkal ne bajlódjunk, ezt a
szolgáltató megküldi a routernek. Állíthatjuk fixre is, de akkor gyakoriak lehetnek a lassulások.
Ha azt akarjuk, hogy bárki láthassa a hálózatunkat, (pl. WarDriving
hely létrehozása esetén), akkor kapcsoljuk be az SSID
broadcast-et, és adjunk neki valami jellemző nevet. Kapcsoljuk ki a MAC
címszűrést, a WEP-et, a WPA-t, és kapcsoljuk be a DHCP-t, hogy mindenki
kaphasson IP címet. Persze ebben az esetben a saját gépeinken nem árt,
ha külön védelem van, de ebbe most nem megyek bele, mert aki ilyenbe
fog, az úgyis tudja, hogy mit csinál.
Amennyiben csak virtuális magánhálózatra (VPN) csatlakozunk, és
rendelkezünk a szükséges tanúsítványokkal, és titkosító
szoftverekkel, ne bajlódjunk a WEP/WPA beállításával, tekintve, hogy a VPN többszörösen felülmúlja a WPA
vagy a WPA2
biztonságát. VPN használata esetében elég ha kikapcsoljuk az SSID
broadcastet, bekapcsoljuk a MAC címszűrést és megváltoztatjuk a
router jelszavát.
Minden routeren megvan rá lehetőség, hogy a készre belőtt router
beállításait
elmentsük. Ha ezt megtesszük, akkor később, ha valamiért
hidegindítást kell végezni rajta, nem kell elölről szöszmötölni,
elég, ha feltöltjük rá a mentést.
Nibiru
Frissítve: 2010.06.22
|
|
