Bezpieczne WiFi. Co i jak ustawić. Co warto wiedzieć
Sieci

Bezpieczne WiFi. Co i jak ustawić. Co warto wiedzieć

z dnia
Piotr Romański | Redaktor serwisu benchmark.pl
17 komentarzy Dyskutuj z nami

Co bezwzględnie należy zrobić przy pierwszym uruchomieniu WiFi i routera, oraz co zrobić i co warto wiedzieć, aby zwiększyć poziom bezpieczeństwa.

Porady podzieliśmy na te startowe i absolutnie niezbędne przy uruchamianiu sieci WiFi - jeśli tylko zależy Ci na bezpieczeństwie Twojej sieci i danych. Druga grupa wskazówek (lub lista "checkpoint") jest dla tych już obeznanych z tematem, ewentualnie dla tych co myślą że nic im nie grozi. Trzecia grupa porad zawiera ponad przeciętne wskazówki, które określiliśmy jako poziom ekspert. Jeśli któraś z porad szczególnie Cię zainteresuje, kliknij w nią a zostaniesz przeniesiony do szerszego wyjaśnienia.
 

Sześć rzeczy które powinieneś zrobić przy pierwszej konfiguracji sieci i routera WiFi

Rzeczy które powinieneś zrobić lub o których trzeba pamiętać, jeśli zależy nam na bezpieczeństwie WiFi.

Poziom ekspert

 

Szczegółowe objaśnienie wszystkich porad

Zmiana hasła routera przy pierwszej konfiguracji

Kupując nowy router producent standardowo podaje w instrukcji lub na spodniej stronie routera (tabliczka znamionowa) parametry połączenia oraz dane logowania do panelu administracyjnego. W 99% przypadków domyślnym loginem jest: admin. Takie samo jest również hasło. Dość obszerną bazę domyślnych haseł niemal wszystkich producentów można np. znaleźć pod adresem: www.routerpasswords.com. Powinno się zmienić domyślne hasło administratora ze względów bezpieczeństwa. Najczęściej można to wykonać w sekcji System Tools lub Tools/Utilities.

Zmiana nazwy konta administratora przy pierwszej konfiguracji

Po zmianie hasła administratora w dalszym ciągu możemy zwiększyć poziom bezpieczeństwa rotuera. Niektóre modele, jak np. routery TP-Link prócz zmiany hasła pozwalają także na zmianę nazwy konta administratora.

Włączenie mechanizmu szyfrowania – maksymalnego na jakie pozwala router

Najnowsze routery obsługują domyślnie ostateczną wersję standardu 802.11i czyli tzw. szyfrowanie WPA2. W standardzie tym zastosowano zamiast algorytmu RC4 szyfrowanie AES. W trosce o bezpieczeństwo i jak najłatwiejszą konfigurację routery mają domyślnie włączone szyfrowanie WPA2-PSK - w starszej wersji TKIP lub nowszej AES. Dzięki temu router zaraz po włączeniu pozwala na bezpieczne łączenie się z siecią WiFi. Użytkownik ma jednocześnie pewność, że nikt nie otrzyma dostępu do jego sieci.

Ustawienie silnego hasła do sieci domowej

Choć producent przygotował router do bezpiecznej transmisji w sieci bezprzewodowej to zarówno sama nazwa sieci WiFi jak i hasło nie mają zbyt przyjaznej formy łatwej do zapamiętania. Bardzo często jest to rząd kilku przypadkowych losowo wybranych liter i cyfr. Warto zmienić zarówno nazwę sieci (na bardziej unikalną a jednocześnie łatwiejszą do zapamiętania) a także określić silne hasło administratora, które również zapamiętamy.
Najbezpieczniej jeśli hasło jest dłuższe niż 8 znaków, zawiera duże litery, małe litery, cyfry i znak specjalny (` ~ ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; " ' < > , . ? /). Bezwzględnie nazwa sieci nie może być jednocześnie hasłem do sieci WiFi. Warto stosować hasła, które nie mają związku z nami, naszą lokalizacją czy też nazwą sieci. Nie warto także stosować popularnych (choć spełniających założenia haseł typu: !QAZ2wsx, zaq12wsx, qwerty123$%^, itp.). Utrudni to potencjalnemu włamywaczowi dostęp do naszej sieci. Ciekawy poradnik dotyczący zasad tworzenia haseł (nie tylko dla routerów) można znaleźć np. na stronie Microsoft.

Zapora sieciowa SPI

Elementem, który zwiększa bezpieczeństwo domowej sieci LAN jest zapora sieciowa. W zależności od typu może ona mieć postać urządzenia lub też funkcji programowej. Nowoczesne routery posiadają wbudowany jeden z mechanizmów filtrowania ruchu sieciowego – tzw. zaporę Stateful Packet Inspection. Mechanizm SPI filtruje pakiety przechodzące przez router zapamiętując jego parametry. Jeśli, któryś z pakietów nie odpowiada określonym parametrom jest blokowany przez zaporę. Dodatkowo niektóre routery pozwalają także na włączenie dodatkowej ochrony IP Spoofing – mechanizmu ograniczającego możliwości podszywania się pod komputer z innym adresem IP. Rozbudowując sieć domową warto także włączyć mechanizm NAT, który prócz funkcji rozszerzenia dostępu komputerów do sieci globalnej pozwala na „ukrycie” struktury sieci lokalnej za pomocą jednego urządzenia. Warto jednak pamiętać, że włączenie zapory SPI nie uchroni naszych komputerów w 100% przed atakami z sieci zewnętrznej, dlatego prócz aktywacji SPI warto skonfigurować indywidualne zapory sieciowe na poszczególnych komputerach w sieci domowej.

Sprawdzaj i aktualizuj oprogramowanie routera do maksymalnej wersji

Urządzenia komputerowe to nie tylko zestaw części elektronicznych zamkniętych w obudowie. To przede wszystkim oprogramowanie, które pozwala na wykorzystanie możliwości danego urządzenia. Tak jak każda aplikacja tak i oprogramowanie rozruchowe routera może zawierać błędy czy też brak określonej funkcjonalności lub nawet luki bezpieczeństwa. Dlatego też tuż po uruchomieniu routera należy zaktualizować jego oprogramowanie (firmware). Można to zrobić z pomocą kreatora znajdującego się w interfejsie routera lub też pobrać z internetu właściwy plik z oprogramowaniem. Częste aktualizacje pozwolą na uniknięcie błędów czy też luk, które np. pozwalają na zalogowanie się do routera zdalnie poprzez wpisanie odpowiedniego adresu w przeglądarce internetowej czy konsoli wiersza poleceń.

 

Porady wyższego bezpieczeństwa WiFi

Włączenie filtrowania adresów MAC, a jednocześnie włączenie szyfrowania

Jedną z metod zwiększającą bezpieczeństwo sieci bezprzewodowych prócz włączenia najsilniejszego szyfrowania jest filtrowanie adresów MAC. Filtrowanie polega na przypisaniu w routerze adresów MAC (unikalne identyfikatory każdej karty sieciowej), które mogą połączyć się z daną siecią bezprzewodową. Jednak włączenie samego filtrowania adresów MAC i pozostawienie sieci bez szyfrowania to kwestia chwili by ktoś mógł się do niej podłączyć pomimo wprowadzonych filtrów. By móc czuć się bezpieczniejszym dużo lepszym rozwiązaniem jest połączenie filtrowania z włączeniem szyfrowania WPA2. Takie rozwiązanie utrudni dostęp do naszej sieci domowej. Dodatkowo prócz filtrowania adresów MAC klientów bezprzewodowych możemy włączyć szyfrowanie dla klientów podłączanych poprzez sieć Ethernet.

Zmiana standardowej nazwy sieci WiFi i standardowych ustawień zabezpieczeń

Choć router jest dostarczany przez producenta z ustawionym poziomem zabezpieczeń, nazwą sieci SSID i hasłami dostępowymi to pozostawienie domyślnej konfiguracji może nieść za sobą poważne skutki. Wykorzystanie skanera sieci WiFi pozwoli znaleźć w okolicy urządzenia i wyświetlić nie tylko nazwy sieci ale także ich producentów.

Mając te informacje oraz znając domyślną nazwę sieci potencjalny włamywacz może szybciej odgadnąć hasło dostępowe jeśli nie zostało ono zmienione. Dalszy ciąg zdarzeń jest już tylko zależny od fantazji włamywacza – wystarczy np. prosty zabieg podmieniający adresy serwerów DNS i podszywanie się pod np. strony banków.

Wyłącz rozgłaszanie Bonjour, DLNA, UPnP

Usługi, które automatyzują i upraszczają mechanizmy konfiguracji czy też dostępu do danych są niewątpliwie zaletą w sieciach lokalnych. Jednak prócz zalet są też ich wady. Gdy już określone urządzenie podłączy się do sieci LAN wystarczy chwila by usługi takie jak Bonjour, DLNA czy UPnP/UPnP AV rozgłosiły swoje zasoby zgromadzone na poszczególnych urządzeniach w sieci lokalnej. A stąd już tylko krok do możliwości pobrania poszczególnych danych z urządzeń lub też aktywacja w routerze przekierowania portów bez wiedzy użytkownika (np. poprzez trojana). Pół biedy jeśli są to tylko treści multimedialne, gorzej jeśli urządzenia rozgłaszają informacje zawierające poufne dane. Dlatego jeśli nie wykorzystujemy w sieci odtwarzaczy DLNA czy też nie potrzebujemy mechanizmów UPnP lub Bonjour, warto je wyłączyć. Podobnie można wyłączyć na routerze UPnP. Jeśli zaś router posiada możliwość podłączenia dysku twardego lub posiada wbudowany nośnik warto także wyłączyć serwer DLNA i iTunes by nie rozgłaszał w sieci zawartości.

Wyłączaj router na czas jego nie używania

Pytanie zadawane przez wiele osób, na które nie ma jednoznacznej odpowiedzi. Na pewno z punktu widzenia oszczędności energii można wyłączyć urządzenia sieciowe na noc, gdy wychodzimy do pracy, gdy spędzamy weekend poza domem lub jeśli wyjeżdżamy na dłuższy czas z domu. Jednak jeśli chcemy zwiększyć poziom bezpieczeństwa naszego WiFi, zawsze lepiej będzie wyłączyć router z zasilania. Zdania są także podzielone co do tego, czy jest sens wyłączać router na kilkugodzinne chwile bezczynności, np: na noc lub gdy jesteśmy w pracy.

Mechanizm WPS jest wygodny ale niezbyt bezpieczny

Jeśli osoba postronna ma dostęp do routea może bez problemu podłączyć się do naszej sieci przy pomocy PBC (naciskając przycisk WPS na routerze i własnym urządzeniu) – mechanizm WPS (WiFi – Protected Setup) został opracowany by w maksymalny sposób uprościć sposób podłączania nowych urządzeń do sieci bezprzewodowej. Użytkownik wykorzystując mechanizm WPS nie musi konfigurować karty sieciowej, wyszukiwać sieci WiFi czy też ustawiać określony typ zabezpieczeń. Połączenie następuje poprzez wpisanie na ekranie urządzenia odpowiedniego kodu PIN (skonfigurowanego w routerze) lub też naciśnięcia sprzętowego przycisku WPS na routerze i podłączanym urządzeniu. Obydwie metody są wygodne jednak posiadają poważną wadę – w przypadku kodu PIN mając fizyczny dostęp do routera można go odczytać z etykiety informacyjnej. Oczywiście kod PIN można zmienić w panelu administracyjnym. Podobną wadą cechuje się metoda PBC (naciśnięcie przycisku) – wystarczy mieć fizyczny dostęp do routera by móc podłączyć się do sieci bezprzewodowej. Na koniec najważniejsza wada – dość duża podatność WPS na atak typu brute-force (zaledwie 11000 kombinacji).
Dlatego jeśli użytkownik nie będzie wykorzystywał tej metody połączeń warto wyłączyć mechanizm WPS – zarówno przy użyciu PBC jak i kodu PIN.

Staraj się zmieniać hasło do routera co kilka miesięcy

Użytkownicy systemów operacyjnych czy też systemów bankowości mobilnej spotkali się zapewne z tzw. polityką zmiany haseł co określony okres czasu. Jest to związane z podniesieniem bezpieczeństwa urządzeń i systemów. Podobny mechanizm warto stosować w przypadku wszelkiego rodzaju urządzeń sieciowych, m.in. routerów. Zmianę hasła przy zachowaniu zasad jego konstrukcji i złożoności warto wykonywać co 3-4 miesiące.

Zmieniaj hasło do sieci WiFi co kilka miesięcy

Podobnie jak w przypadku haseł dostępowych do panelu administracyjnego routera, warto mieć na uwadze hasła do sieci domowej. Bardzo często zdarza się, że dajemy na chwilę dostęp do sieci domowej naszym gościom czy znajomym. Automatyczne łączenie urządzeń gościnnych może sprawić, że staniemy się ofiarami ataku ze strony przypadkowych urządzeń. Równie dobrze urządzenia gości mogą być zawirusowane co może skutkować przeniesieniem infekcji do naszej sieci LAN. Zmiana hasła do sieci WiFi co 3-4 miesiące pozwoli uniknąć także sytuacji, w której włamywacz uzyskał już hasło do sieci i wykorzystuje jej zasoby do własnych celów.

Wyłącz przekierowanie portów jeśli nie są potrzebne

Przekierowania portów na routerze stanowią swoistą furtkę dostępową do sieci lokalnej. Dzięki niej użytkownicy z internetu mogą otrzymać dostęp do określonych usług czy komputerów wewnątrz LAN. W przypadku gdy nie korzystamy ze zdalnego dostępu warto wyłączyć lub też skontrolować zakładkę Port Forwarding oraz Virtual Server czy nie ma w niej podejrzanych wpisów. Jeśli stosujemy przekierowania to na bieżąco sprawdzajmy ich prawidłowość a także prawidłowe zabezpieczenie urządzeń do których utworzone jest przekierowanie.

Jeśli potrzebujesz przekierowania stosuj porty o nietypowym numerze niż używane przez określone usługi

W przypadku gdy chcemy mieć dostęp z zewnątrz do naszej sieci LAN i określonych usług starajmy się skonfigurować przekierowanie portów na innych niż domyślne numery. W większości przypadków skanery internetowe przeszukują w sieci internet urządzenia, które mają otwarte domyślne i popularne porty, np. 80, 443, 22, 23, itd. Próbują uzyskać do niech nieautoryzowany dostęp. Ustawienie nietypowego portu dla określonej usługi może ograniczyć (ale nie całkowicie wyeliminować) próby ataku na sieć LAN. Dodatkowo jeśli router posiada taką funkcjonalność warto wyłączyć odpowiedź ICMP na zapytania ping ze strony internetu. Ten typ sprawdzania obecności hostów w sieci internet jest jednym z pierwszych testów wykonywanych przez skanery sieciowe.

Wyłącz sieć gościnną a jeśli jej potrzebujesz dla gości włączaj tylko na czas ich wizyty a po wizycie zmień hasło

Ciekawą opcją nowoczesnych routerów jest funkcja sieci gościnnej. Pozwala ona na utworzenie odrębnej sieci bezprzewodowej z różnymi zabezpieczeniami. Dzięki takiemu rozwiązaniu nie musimy podawać hasła do naszej produktywnej sieci bezprzewodowej. W przypadku gdy wykorzystujemy funkcję sieci gościnnej aktywujmy ją tylko na czas wizyty gości (niektóre routery posiadają możliwość utworzenia harmonogramów włączania sieci gościnnej). Dodatkowo dla sieci gościnnej warto przydzielić minimalne pasmo połączenia internetowego – np. 1-2 Mb/s tylko i wyłącznie na potrzeby podstawowej komunikacji internetowej – strony WWW, poczta, itp. Po opuszczeniu domu przez gości deaktywujmy sieć a dodatkowo zmieńmy jej hasło.

Jeśli wykorzystujesz sieć gościnną stosuj izolację klientów a także izolację od sieci macierzystej

Wykorzystanie sieci gościnnej prócz zalet związanych z brakiem konieczności udostępniania hasła dostępowego do sieci macierzystej może mieć jedną wadę. Otóż po połączeniu użytkownik może posiadać dostęp do zasobów naszej sieci lokalnej – udostępnionych danych, serwerów, multimediów. By temu zapobiec warto w interfejsie routera skonfigurować tzw. Izolację klientów oraz izolację sieci LAN. Uniemożliwi to komunikację gościom z macierzystą siecią LAN a także wzajemną komunikację pomiędzy podłączonymi klientami.

Jeśli nie posiadasz sieci gościnnej a chcesz dać dostęp do sieci WiFi dla gości, to tuż po ich wyjściu zmień hasło do sieci

W starszych lub tańszych modelach routerów bezprzewodowych bardzo często brak jest funkcji sieci gościnnej lub możliwości izolacji klientów od sieci domowej. W takim przypadku pozostaje podanie hasła macierzystej sieci dla gości. Warto jednak ograniczyć dostęp do zasobów sieci LAN poprzez wyłączenie urządzeń udostępniających dane lub też ich odpowiednie zabezpieczenie poprzez włączenie autoryzacji . Po wyjściu gości należy bezwzględnie zmienić hasło do naszej sieci domowej WiFi.
W przypadku gdy router nie posiada sieci gościnnej a my w dalszym ciągu chcemy mieć możliwość podłączenia innych klientów do sieci bezprzewodowej warto wyposażyć sieć w najtańszy punkt dostępowy i przenieść go do innego segmentu sieci LAN, tzw. VLAN-u, który będzie odseparowany od macierzystej sieci domowej.

Przy podłączaniu urządzeń WiFi do sieci twórz je samodzielnie bez korzystania z WPS

Jak już wcześniej wspominaliśmy mechanizm WPS powstał na potrzeby łatwiejszej komunikacji urządzeń sieciowych z routerem WiFi. Jednak z uwagi na bezpieczeństwo lepiej samodzielnie zestawić połączenie z daną siecią bezprzewodową poprzez wyszukanie jej SSID, podanie hasła i opcjonalne skonfigurowanie zabezpieczeń. Samodzielne podłączanie nie jest czasochłonne czy też zbyt trudne w realizacji.

Zarządzaj routerem tylko lokalnie, najlepiej poprzez połączenie szyfrowane

Wyłącz zdalne zarządzanie routerem. A jeśli potrzebujesz to łącz się ze swoją siecią poprzez VPN. Niewątpliwą zaletą sieci komputerowych jest ich wysoki stopień konfigurowalności.

Będąc podłączonym do sieci internet można administrować dowolną siecią lokalną zlokalizowaną nawet na drugim końcu kraju czy w innym państwie. Warto w tym miejscu jednak pamiętać, że administrowanie routerem brzegowym w sieci zdalnej powinno odbywać się poprzez szyfrowane połączenie VPN. Oczywiście routery umożliwiają zdalne zarządzanie poprzez użycie dowolnego portu  a także przypisanie zdalnego adresu lub adresów, które mogą administrować daną siecią. Jednak wystawianie interfejsu domowego routera na zewnątrz wiąże się z większym ryzykiem włamania.

Jeśli Twoja sieć domowa jest rozszerzona przy użyciu dodatkowych urządzeń pamiętaj, że ważne jest także ich bezpieczeństwo

Domowa  czy firmowa sieć LAN to nie tylko router bezprzewodowy. Bardzo często prócz niego znajdziemy w niej różnego rodzaju urządzenia sieciowe wspomagające pracę – np. dodatkowe punkty dostępowe, repeatery sieci WiFi czy też adaptery PLC lub przełączniki sieciowe. Jeśli użytkownicy mają dostęp do tych urządzeń to warto zwrócić szczególną uwagę na ich konfigurację i bezpieczeństwo.

W przypadku punktów dostępowych i repeaterów należy bezwzględnie zabezpieczyć sieć WiFi a także podobnie jak w przypadku routera ustawić właściwe hasła. Jeśli sieć LAN posiada dodatkowe przełączniki sieciowe to warto je zabezpieczyć przed niepowołanym dostępem a jeśli jest taka możliwość to wyłączyć nieużywane porty przełącznika.

Nie konfiguruj strefy DMZ i nie podłączaj do niej żadnego urządzenia jeśli nie jesteś w 100% pewien o prawidłowym zabezpieczeniu urządzenia w DMZ

Jeśli przekierowanie portów jest niewystarczającym rozwiązaniem w przypadku publicznego dostępu do komputerów i usług pozostaje skonfigurowanie jednego z portów routera jako strefy DMZ. Komputer lub urządzenie podłączone do tego typu portu będzie dostępne bezpośrednio z internetu. Dlatego ważne jest by zastosować maksymalnie wiele zabezpieczeń i odpowiednio skonfigurować usługi dostępowe. W przypadku ich braku (np. reguł zapory sieciowej) urządzenie takie staje się bezbronne i może stać się ofiarą włamania.

Jeśli interesuje Cię poziom ekspert, przejdź na kolejną stronę.

 

Warto zobaczyć:

Przydatne programy

  • LastPass - bezpieczny menadżer i generator haseł.