Bezpieczna sieć WiFi

W wielu domach czy biurach możemy spotkać bezprzewodową sieć WiFi do której przyłączamy urządzenia mobilne jak laptopy, palmtopy, tablety, smartfony, konsole do gier a nawet telewizory czy drukarki. Dla wielu z nas sam fakt że posiadamy własną działającą sieć WiFi w zupełności wystarczy. Ot bezprzewodowy luksus!

Nie poświecamy uwagi na niuanse jej konfiguracji, zapominając że często jest ona JEDYNYM I NIEKONIECZNIE KONTROLOWANYM przez nas sposobem na dostanie się (przynajmniej wirtualne) do naszego domu czy firmy z zewnątrz. Co gorsze, niezabezpieczona sieć umożliwia innym osobom korzystanie z Internetu pod naszym nazwiskiem, w naszym imieniu, nie mówiąc już o tym, że ktoś w ten sposób może uzyskać dostęp do naszych danych zgromadzonych w komputerach.

Jak to się dzieje i czym to właściwe grozi? Sygnał z naszego routera WiFi w typowych warunkach jest widoczny do 100 m w najbliższym otoczeniu. Jedynie zabezpieczenia (jeżeli są na odpowiednim poziomie i są uruchomione na routerze) czynią naszą sieć naprawdę naszą i prywatną.

Najgorszym wariantem jest sytuacja gdy uruchamiamy router prosto ze sklepu i nie konfigurujemy żadnych zabezpieczeń “bo zadziałało i to jest najważniejsze – lepiej nie ruszać”. W takiej sytuacji nie dość że często nazwa sieci (widoczna we wszystkich urządzeniach w promieniu 100 m od nas) zdradza producenta i często model routera (producenci ustawiają tak domyślną, fabryczną nazwę sieci WiFi), to jeszcze sieć jest ustawiona w trybie Open – czyli każdy kto chce i jest w jej zasięgu, może się podłączyć. Aby było jeszcze smutniej, wszystkie dane, jakie wymieniamy w takiej sieci (czyli np. nieszyfrowane hasła do poczty czy Gadu-Gadu oraz treści nieszyfrowanych stron www, które otwieramy) można bez większego problemu przechwycić ogólnodostępnymi bezpłatnymi narzędziami. To tak jakbyśmy zostawili bardzo drogie Porsche w podejrzanej dzielnicy, z otwartymi drzwiami i kluczykami w stacyjce i dziwili się, że za 15 minut samochodu już tam nie będzie…

Dodatkowo router w sensie wirtualnuym może przestać być nasz, bo skoro można zgadnąć nazwę routera po nazwie sieci, można wpiąć się do tej sieci bez zabezpieczeń i hasła, to nie jest trudnym zadaniem znaleźć w Internecie domyślne hasło administratora do danego typu urządzenia. A to oznacza że można z zewnątrz zalogować się do panelu zarządzania takim routerem i w miarę możliwości urządzenia robić “co się tylko chce”.
O ile mieszkamy w ostatnim domu na końcu małej wsi, to być może taki stan utrzymać się miesiącami, zanim ktoś się w ogóle zainteresuje naszą niezabezpieczoną siecią, o tyle w centrum miasta, na osiedlu składającym się z kilku 10 piętrowych wieżowców naszą niezabezpieczoną sieć może zobaczyć nawet 1000 osób i nie trzeba czekać długo (może kilkanaście minut, może godzinę) i już znajdzie się chętny na skorzystanie z Internetu bez naszej wiedzy i dzięki naszej uprzejmości.

Miejmy świadomość, że każda osoba, która skorzysta z takiego “dzikiego” dostępu do Internetu, może go teoretycznie wykorzystać również w złych celach, a najgorsze jest to, że to wszystko na nasze konto… Nawet jeżeli nasz router umożliwia rejestrowanie połączeń od komputerów, wpinających się do sieci poprzez WiFi, to i tak taki dziennik utrzymywany jest w pamięci w ograniczonym zakresie i do następnego uruchomienia routera albo zaniku prądu. W czarnym scenariuszu do drzwi puka policja, jesteśmy podejrzani o popełnienie takiego czy innego czynu, a nasz router ma amnezję i nie jest w stanie przedstawić dowodów, że do sieci podłączył się ktoś jeszcze i to nie byliśmy my. Wszystkie ślady prowadzą tylko i wyłącznie do nas…

Ale czy dodanie hasła do sieci to gwarancja bezpieczeństwa? Niekoniecznie… Jedno z najwcześniej stosowanych zabezpieczeń – WEP, wymaga hasła do podłączenia się do sieci i dla kompletnych laików może stanowić to barierę nie do przejścia. Jednakże ktoś, kto poszuka więcej, szybko znajdzie gotowe przepisy na złamanie hasła takiej sieci, nawet w kilkanaście minut. A więc nadal nie jesteśmy bezpieczni.
Nawet najwyższy, stosowany obecnie powszechnie poziom zabezpieczeń, WPA2, nie gwarantuje nam całkowitego bezpieczeństwa, bo i on również opiera się o hasło, które można przecież zgadnąć jeżeli jest za proste lub podpatrzyć czy podsłuchać. O słabych hasłach było już wcześniej. Czy możemy zrobić coś jeszcze?

Zdecydowana większość domowych routerów umożliwia dodatkowe zabezpieczenie w postaci listy dostępu wg adresów MAC urządzeń. Generalnie każde urządzenie sieciowe ma unikalny identyfikator w postaci tzw. adresu MAC, składającego się z ciągu liczb szestnastkowych, rozdzielonego najczęściej dwukropkami czy myślnikami. Jeżeli jesteśmy w stanie odczytać adresy MAC kart WiFi urządzeń, o których wiemy, że będą korzystać z tej sieci (bo należą do nas), wówczas przy odrobinie wiedzy informatycznej (albo uważnie studiując instrukcję routera) możemy skonfigurować nasz router tak aby wpuszczał do sieci tylko te wybrane adresy MAC. Czy wówczas nawet podane prawidłowe hasło sieci WiFi nie umożliwi dostępu do naszej sieci osobom trzecim.

Taka konfiguracja komplikuje nieco sprawę gdy przyjdą znajomi ze swoim laptopem, ale jeżeli nasz router obsługuję WPS, wówczas sprawa może się znacznie uprościć.