Vírusírtó Blog

Hogyan védjük meg a wifi hálózatunkat?

2015.04.29. 10:00 G Data

title160_14.jpgEgyre több háztartásban használnak többféle számítástechnikai eszközt, hogy a családtagok mindegyike tudjon az internethez kapcsolódni akár egyidejűleg is. Ha azonban a vezeték nélküli kommunikációt lehetővé tevő otthoni wifi hálózatunkat nem védjük kellőképpen, az körülbelül olyan, mintha tárva-nyitva hagynánk a lakást a betörők előtt.

 

Könnyedén találni olyan letölthető programokat az interneten, amelyekkel e-mailes, facebookos, netes banki és más jelszavakat lehet leszedni a wifis hálózat adatforgalmából, de az is épp elég kellemetlen lehet, ha a szomszéd a családi fotóink között kutakodik – hát még ha tudtunk nélkül meg is osztja azt valamelyik közösségi oldalon.

 

Ahhoz, hogy kellően biztonságossá, a külső behatolásokkal szemben védetté tegyük otthoni wifi hálózatunkat, néhány egyszerű beállítást kell elvégezni a routeren.

 

Válasszunk erős jelszót

 

Először is nyissuk meg a router kezelői felületét: a számítógép böngészőjébe írjuk be a routerünk IP címét. A felhasználói kézikönyvben megtalálható a belépéshez szükséges IP cím és jelszó, de a legtöbb router gyári beállításként is tartalmazza a címet.
A következő lépés a titkosítás beállítása. Itt többféle rövidítéssel találkozhatunk, mint a WEP, WPA, illetve TKIP vagy AES. Ezekről azt kell feltétlenül tudni, hogy a WEP nem túl biztonságos, könnyen feltörhető, ezért érdemes a „fiatalabb” szabványt, a WPA2-est használni. A TKIP és az AES két eltérő titkosítási megoldást jelent, az utóbbi a fejlettebb, biztonságosabb megoldás. Az ideális beállítás tehát így néz ki: WPA2-PSK (AES).

 

Az egyik legfontosabb teendőnk ezt követően, hogy megváltoztatjuk a router hozzáférési jelszavát. Az alapbeállításként megadott jelszó mások számára könnyen kitalálható, ezért válasszunk kellően erős jelszavat. Ebben akár a biztonsági szoftverünk is segítségünkre lehet.

 

A modern biztonsági szoftverek jelzik, ha a wifi hálózat titkosítása vagy jelszava gyenge, így például a G Data piros figyelmeztető feliratot jelenít meg, ha azt érzékeli, hogy a jelszó nem elég erős.

34131298_l.jpg

 

Vegyük kézbe az adminisztrációt

 

A kezelői felületen engedélyezhetjük a MAC-cím szűrést (MAC address filtering) is, így csak azok a gépek tudnak csatlakozni a hálózathoz, melyek a MAC címük alapján engedélyezve vannak. Ugyanakkor fontos, hogy a távoli hozzáférést letiltsuk, ezáltal csak az tud a routerhez hozzáférni, aki csatlakozott az otthoni hálózathoz.

 

Bonyodalmat okozhat, ha a beállításokat a család bármelyik tagja meg tudja változtatni a mobileszközéről, ezért tiltsuk le a drótnélküli adminisztráció lehetőségét, így minden beállítást csak az tud módosítani, aki közvetlenül a routerhez csatlakozik.

 

Mint minden szoftvert, így a router szoftverét is érdemes frissíteni, hogy újabb és nagyobb biztonságot adó beállítások is elérhetővé váljanak.

 

Óvatosan a nyílt hálózatokon

 

Egyre több helyen csatlakozhatunk mobileszközeinkkel az internethez a nyílt wifi hálózatok segítségével a tereken, vendéglőben, szállodában, repülőtéren vagy a vonaton is, ahol az adataink még nagyobb veszélynek vannak kitéve: tulajdonképpen csak azért nem lopják el, mert szerencsénk van, és senki nem kíváncsi rájuk… Általános jó tanács ezért, ha nyílt wifire csatlakozunk, akkor lehetőleg csak a híroldalakat böngésszük.

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Címkék: wifi internetbiztonság

15 hozzászólás

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr877311022

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

pythonozok · http://visszabeszelo.blog.hu 2015.04.29. 14:20:14

MAC filter... ha valaki fel tud törni egy WPA2-AES-t, annak nem okozhat gondot, hogy megnézze, milyen címekről van forgalma és átírni a sajátját egy engedélyezettre.
Szóval a MAC szűrés elég felesleges dolognak tűnik.

pythonozok · http://visszabeszelo.blog.hu 2015.04.29. 14:23:45

Nyílt wifit meg csak az használjon, akinek semmi félteni való adata nincs a mobilján és az otthoni hálózatán. Ezekről a nyílt AP-okról bármi szemetet fel lehet csempészni a mobilra.

Túrós (törölt) 2015.04.30. 08:56:19

@pythonozok: ki az aki félteni való adatokat tárol a mobilján???

NastroAzzurro 2015.04.30. 10:05:40

+2 jótanács: SSID-t el kell rejteni, jelerősséget lejebb kell venni .

pythonozok · http://visszabeszelo.blog.hu 2015.04.30. 10:24:09

@NastroAzzurro: ez felesleges. Akinek van eszköze a wifi illetéktelen piszkálásához, annak nem okoz gondot megtalálni a rejtett SSID-t.
Egy biztonsági témákkal foglalkozó lapon meg azt írták, hogy inkább ne is rejtsük el, mert azzal, hogy a kliens olyan AP-t próbál megszólítani, ami nem hirdeti magát, plusz támadási felületet nyújtunk egy rosszalkodni készülőnek. Jogy ez pontosan miben nyilvánul meg, azt nem tudom.

Triest 2015.04.30. 23:31:58

A rejtett SSID meg a MAC address filtering 5 perces feladat. Nem ér semmit. Ha valakinek még újdonság, akkor a WPS funkciót azonnal tiltani kell, mert WPSen keresztül könnyedén törhető a WPA2 PSK az esetek 90%ában jelszó erősségtől függetlenül 0-12 óra alatt. 10%-ban a router előbb összecrashel, vagy már olyan firmware van rajta, ami limitálja a csatlakozások számát.

Akkor az én jótanácsaim még, nem a bulvár olvasókank:
10-15 SSID szórása különböző beállításokkal, amik valójában egy karanténba vezetnek, nincs mögöttük valós hálózat. Az egy mit használsz, az viszont legyen WPA2 Enterprise. A kliensen beállítva, ha az AP nem rendelkezik az előre generált certificate-el, akkor jelezze és ne kapcsolódjon. Ezzel ki lehet szűrni az Evil twin/rouge access pointos támadásokat. Az enterprise lehetővé teszi a felhasználónkénti egyedi jelszót+ MAC filteringet. Itt a jelszó legyen minimum 24 karakteres random generált jelszó. Ha esetleg az eszköz mégis felcsatlakozna egy ugyanolyan nevű hamis AP-re, akkor a kódolt változatát kapja meg a jelszónak, amit ha szótári szó, könnyen visszafejthetnek. A WPA2 enterprisehoz kell egy állandóan futó Radius szerver. Ezt be kell kalkulálni. DHCP szervert is érdemes úgy konfigurálni, hogy ne adjon automatikusan IPt mindenkinek, csak regisztrált MAC addressre.

Ha valakinek van még tippje, kérem egészítse ki. Én is szivesen venném.

pythonozok · http://visszabeszelo.blog.hu 2015.05.01. 07:19:32

@Triest: erre a wpa2 0-12 órára valami hiteles forrásod is van?
Én sokkal hosszabb időről tudok.
Enterprise meg... ahhoz azért sok dolog kell (szakértelem, még egy szerver, amin fut pl egy FreeRADIUS, olyan minőségű wifi, ami nem szakadozik, mert sok kliens nem csatlakozik újra, ha RADIUS-t használsz stb)

pythonozok · http://visszabeszelo.blog.hu 2015.05.01. 08:35:21

Off: ha a blog gazdája/gazdái közül valaki jár erre...
van arra esély, hogy vírus/trójai témában kapjak egy kis szakszerű segítséget tőletek? Valami furcsa dolgot találtam a Windows-omon, ami a neten talált infók alapján egy vírus vagy trójai nyoma, épp csak hiányoznak az aktív részei. Erről szeretnék pár szót váltani valaki szakértővel, ha van rá mód.

Triest 2015.05.01. 09:48:58

@pythonozok: A WPS egy 8 számjegyű pinkódot használ a csatlakozáshoz. Az utolsó számjegy egy ellenőrző számjegy ami kiszámíható. Marad 7. A fail a WPS szabványban az, hogy más hibajelzést ad vissza ha az első és mást ha a második 4 számjegyben van hiba. Így végig kell pörgetni az első 4 számjegyet (10000 lehetőség), hogy megkapjuk a pin helyes első 4 számjegyét, aztán pedig még 1000-et, hogy megkapjuk a 5., 6., 7. pin számjegyet. A 8 kiszámítható. Összesen 11000 lehetőség maximum. Ha van normális jelerősség, akkor kb 4 mpenként lehet egy pint kipróbálni (persze nem manuálisan). 11000 mp az nagyjából 12 óra maximum, de általában hamarabb megvan. Sok gyártó adja-adta a legtriviálisabb 1234567x, 1111111x pineket alapból, amit a progi elsőként próbál meg. Ilyenkor 1 percen belül megvan a helyes pin. A megfelelő pin kód meglévén a wifi jelszó könnyedén kiolvasható.

Triest 2015.05.01. 09:51:32

Bocs. 11000*4 mp az kb 12 óra.

pythonozok · http://visszabeszelo.blog.hu 2015.05.01. 10:22:30

@Triest: WPS az tiszta, de te a WPA2-PSK-ra írtad, hogy ennyi idő alatt törhető. Félreértettem volna?
Nem ok nélkül kérdeztem. Bizonsági témában elég paranoiás vagyok és néhány alkalommal láttam érdekes dolgokat a routeremen. Sajnos a tomato nem logolja a wifi csatlakozást, a driver zárt kódú, a radius meg a szar jelminőség miatt nem használható :(
(Leszakadok, de nem kapcsolódik vissza automatikusan)

pythonozok · http://visszabeszelo.blog.hu 2015.05.01. 10:24:57

@Triest: bocs... újra elolvastam ami írtál, tényleg félreértettem. Mentségemre: cukros vagyok és tönkrement a szemem, sokszor járok így, hogy szavak, sorok kimaradnak miközben olvasok.

Triest 2015.05.01. 11:03:30

@pythonozok: Igen a WPS pin birtokában a WPA2-PSK jelszó kiolvasható hosszúságtól és bonyolultságtól függetlenül.
Otthoni környzetben én sem láttam sok WP2 enterprise-t. Nem igazán jellemző, de biztonságban a WPA2 pre-shared keyhez viszonyítva sokkal jobb.

Talán érdemes lenne a router gyártóknak egy beépített radius szervert rakni a routerbe és akkor könnyebben tudnák az emberek implementálni.

Én Cisco AP-ken használok radiust, külön szerverrel. A jelerősség nem haladja meg szerintem a normál home router-ekét, de nekem nem szokott leszakadozni egyik eszköz sem. Van pár más, akár Windows-os ingyenes radius szerver is. Igaz mindegyiket ki kell találni, hogy kell beállítani, hogy működjön is:).

A WPA2 PSK egy másik törési módszere ha a wireless forgalomba belehallgatunk és várunk, míg egy eszköz fel akar csatlakozni. Ilyenkor egy 4 way handshake elnevezésű azonosítás hajtódik végre. Ha ezeket a csomagokat sikerül elcsípni, akkor a kódolt változata a jelszónak megszerezhető és innentől kezdve szó adatbázissal, vagy brute-force-al lehet visszafejteni. Ha nemakar az ember random várni egy eszköz újracsatlakozására, akkor le is lehet szedni távolról a kiszemelt eszközt a wifiről, hogy muszáj legyen újracsatlakozni. Ez kicsit macerásabb , de működő technika. A Bruteforce pedig már csak idő-kapacitás kérdése. Olcsón bérelhető virtuális szerverek korában meg már inkább csak pénz kérdése.

pythonozok · http://visszabeszelo.blog.hu 2015.05.01. 11:16:05

@Triest: nekem a tomaton futott sokáig a freeradius, de amikor elkezdett romlani a 2.4GHz errefelé (hihetetlen mértékű interferencia lehet a jelek szerint ), a mobilom is egyre ggyakrabban szakadt le és maradt úgy. :(

No meg egy radius beállítása azért meghaladja az átlag user ismereteit, így talán jobb is, ha nem teszik be minden routerbe. Ráadásul ami tomatora, openwrtre találtam, azok elég hiányosak, újra kellene fordítani, hogy minden szükséges dolog belekerüljön.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (36) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (21) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) facebook (129) Facebook (10) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (35) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) kriptobányászat (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) skype (2) Skype (1) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) vírusirtó (12) virusirtó (1) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) Windows (2) windows (1) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő
süti beállítások módosítása