Zaštitite svoje podatke i bežični prostor

Povod za ovaj tekst je moje nedavno preseljenje u novu zgradu. Kako mi je na telefonu uvek uključen Wi-Fi, vrlo brzo sam otkrio da se prikačio na neku mrežu u zgradi.

Krađa Wi-Fi signala od komšije

Mreža je imala default oznaku rutera i bila je bez zaštite. Kada sam pregledao šta je u dometu, otkrio sam još jednu mrežu, sa oznakom linksys, (opet default ruter name) i bez zaštite. Zbog prirode posla kojim se bavim, odmah sam počeo da razmišljam šta je tu od podataka dostupno i na koji način.
Pitanje: Da li biste ostavili otključana vrata od firme ili stana kada izlazite napolje? Sa svim stvarima i podacima koji se nalaze unutra? Logičan odgovor je ne. U današnje vreme, većina nas najveći deo svojih podataka drži na računaru. Slike, dokumenta, pa i pristup banci i računima. Svakodnevno posećujemo društvene mreže i proveravamo poštu, Twitter, Facebook, Youtube, Gmail, Yahoo itd. Ne mali broj nas se od kuće konektuje na računare na poslu.
Zašto onda ostavljate otvorena druga vrata, bežična?
Postoji veliki broj aplikacija napravljenih da “njuskaju” (sniffing) pakete koji se prenose preko mreže, i tako omoguće zlonamernim licima pristup Vašim podacima. Kod klasičnog LAN pristupa, potreban je fizički pristup samom kablu ili računaru u mreži. Wi-Fi, sa druge strane, prvenstveno omogućava komfor u smislu da nema razvlačenja kablova po prostoru gde se mreža koristi, da ne morate da “dovlačite” kablove do Vašeg uređaja, da niste “vezani” za mesto gde ima kabl, i u krajnjoj liniji, estetski mnogo bolje izgleda.
Sa danasnjim smart telefonima, pogotov sa Android OS, i situaciji gore, dovoljno je da instaliram jednu od aplikacija za telefon (napravljenih baš u tu svrhu), npr. FaceNiff, i da sačekam trenutak kada ćete pristupiti Vašem FB nalogu. Posle toga, jednim dodirom ekrana, ulogovan sam kao Vi na FB i imam pristup svim Vašim porukama, slikama, postovima, svemu onome što i Vi imate pristup. Pet minuta kasnije, čitam Vaše mailove. Kao krajnji rezultat, imaću kompletnu kontrolu nad Vašim računarom i/ili mrežom. U celoj priči, najmanji problem je što će se neko nakačiti preko Vašeg rutera i surfovati internetom besplatno.
Dobre vesti su da nije teško zaštiti Vašu bežičnu mrežu, uz par jednostavnih saveta.

Prvi korak. Otvorite stranicu za podešavanje Vašeg rutera.
Prvo, treba da znate kako to da uradite. Pročitajte uputstvo za Vaš ruter. Otvorite omiljeni brouzer (IE, Mozilla, Opera, Chrome) i ukucajte 192.168.1.1 (važi za većinu rutera). Ako slučajno nemate uputstvo, ukucajte na Guglu ime proizvođača Vašeg rutera i default manual (Linksys, Cisco, Netgear, Apple AirPort, D-Link, TP-LINK, 3COM…). Zatim je potrebno da unesete korisničko ime i lozinku. To se razlikuje za svakog proizvođača rutera. Neke od tipičnih kombinacija su admin/admin, administrator/admin, root/admin, admin/password itd.

Drugi korak. Promenite lozinku.
Korisnička imena admin, administrator, root su default-na korisnička imena za Vaš ruter. Na stranici Administration to možete da promenite. Neki ruteri daju mogućnost da se taj korisnik isključi. Ako imate tu opciju, uradite to, i napravite novog korisnika, nešto što je Vama blisko. Preskočite svoje ime, ime ljubimaca, i drugih Vama bliskih osoba. Isto važi i za lozinku koju pravite, bilo da je menjate na defaultn-om korisniku ili na novom, napravljenom. Ako već koristite imena, potrudite se da dodate i neke brojeve i specijalne karaktere (npr. IVANA može da se napiše kao 1V@na). Ovo će sprečiti druge da pristupe Vašem ruteru.
Tipičan prvi korak za ljude koji hoće da zloupotrebe Vašu mrežu – Postoji javno dostupna baza default-nih korisničkih imena i lozinki za svaki mrežni uređaj, ruter, switch. To je prvo što pokušavaju kada pristupaju Vašoj mreži.

Treći korak. Promenite SSID Vaše mreže.
SSID (ime Vaše bežične mreže) je obično namešteno kao default ili kao ime proizvođača Vašeg rutera (u mom primeru gore linksys). Iako ovo neće učiniti Vašu mrežu sigurnijom, u osnovi je dobra ideja, jer će drugima biti jasnije na koju mrežu pokušavaju da se priključe (videće da to nije njihova mreža).
Ovo podešavanje se obično nalazi na strani Basic wireless settings. Kada to podesite, prvo ćete Vi uvek biti sigurni na koju se mrežu konektujete, čak i ako ima više mreža u Vašoj okolini. Opet nemojte koristiti Vaša imena, adresu, ili druge lične informacije, pošto one mogu da predstavljaju potencijalni trag ljudima koji hoće da se prikače.

Wi-Fi mreža

Wireless Internet mreža

Šta koriste “loši momci” – aplikacije za skeniranje Wi-Fi su brojne (npr, inSSIDer za Windows ili Kismet za Mac/Linux, ili Wi-Fi Radar za Android). Besplatne su i omogućiće svima da nađu sve dostupne mreže u okolini, čak i u slučajevima kada te mreže ne odašilju svoj SSID.

Četvrti korak. Uključite enkripciju mreže.
Da biste sprečili druge uređaje u okolini da koriste Vašu internet konekciju, kao i da pristupe Vašoj mreži, morate da enkriptujete Vaš bežični signal.
Postoji nekoliko metoda enkripcije za bežične signale, uključujući WEP, WPA (WPA-Personal) i WPA2 (Wi-Fi protected Access version 2). WEP je osnovna enkripcija, i samim tim, najmanje sigurna (može lako da se zaobiđe), ali je kompatibilna sa najširim spektrom uređaja, uključujući stari hardver. Nasuprot tome, WPA2 je najsigurnija, ali je kompatibilna samo sa uređajima koji su napravljeni posle 2006. godine.
Da biste uključili enkripciju na Vašoj mreži, otvorite Wireless Security Settings, na strani sa podešavanjima za Vaš ruter. Ovde možete da izaberete koji ćete metod koristiti. Unesite lozinku za Vašu mrežu, ponovite je, i spremni ste. Ono što je VRLO BITNO je da ne koristite nešto što je lako prepoznatljivo! Nikako imena, datumi rođenja i sve što je gore spomenuto. Najbolje bi bilo dugačka kombinacija slova, brojeva i specijalnih karaktera (kao što je navedeno u drugom koraku).
Alati za pristup – AirCrack i coWPAtty su neki od besplatnih alata koji omogućavaju ljudima koji čak i nisu hakeri/IT stručnjaci da otkriju Vaš WEP/WPA ključ koristeći tzv. dictionary attack ili brute force tehniku. Osim računara, za AirCrack je dovoljan otključani iPhone ili iPod Touch.

Peti korak. Filtrirajte MAC adrese.
Bez obzira da li imate laptop ili pametni mobilni telefon sa Wi-Fi pristupom, svi vaši uređaji imaju jedinstvene MAC adrese, baš kao što svaki uređaj koji je povezan na internet ima jedinstvenu IP adresu. Kao dodatni sloj zaštite, možete da dodate MAC adrese Vaših uređaja u podešavanjima Vašeg rutera, a kao rezultat dobijate mogućnost da se samo ti uređaji mogu konektovati na Vašu Wi-Fi mrežu.
MAC adrese se dodeljuju uređaju prilikom pravljenja, i zapisane su u samom hardveru Vašeg uređaja. Cilj je da ne dolazi do konflikta prilikom konekcije uređaja na mrežu. Ta adresa može da se iskoristi kao filter za konektovanje na Vašu mrežu. Na žalost, moguće je “lažirati” MAC adresu, ali napadač mora prvo da sazna koje su adrese Vaših uređaja (koje su dozvoljene) kako bi mogao da ih lažira.
Dakle, da biste omogućili filtriranje po MAC adresama, morate prvo da saznate koje su to adrese. U Windows-u otvorite komandni prozor (Start->Run->ukucajte “cmd” bez navodnika i pritisnite Enter). Kada se otvori prozor, ukucajte “ipconfig /all”. Ovo će Vam pokazati MAC adrese pored fizičkih adresa Vaših uređaja. Za mobilne uređaje, možete naći njihove MAC adrese pod mrežnim podešavanjima (npr. Android ->Settings->About device-> Status->Wi-Fi MAC address). MAC adresa je u formatu XX:XX:XX:XX.
Šta se koristi za otkrivanje – Kao što sam napisao, moguće je lažirati svoju MAC adresu. Koristeći alat kao što je Nmap (koji “njuška”), neko može otkriti MAC adresu Vašeg uređaja preko bežične mreže i zatim koristeći drugi alat, npr. MAC Shift, promeniti svoju.

Šesti korak. Smanjite domet Vaše wireless mreže.
Ako Vaša oprema ima veliki domet, a živite u garsonjeri ili nekom manjem prostoru, možete da smanjite domet tako što ćete promeniti mod rada Vašeg rutera na 802.11g (umesto 802.11b ili 802.11n) ili koristiti drugi bežični kanal.
Takođe, umesto što stavljate ruter na neku lepu policu u Vašem prostoru, razmislite o tome da ga stavite u kutija sa cipelama, ispod kreveta, ili, ako se baš brinete za bezbednost, postavite ga kod jednog zida, npr. najdaljeg u prostoriji, i iza, iznad i sa strane oko antena postavite aluminijumsku foliju. Tako ćete usmeriti signal u jednom pravcu, ne u potpunosti, ali dovoljno da oslabite signal u drugim pravcima.

Sedmi korak. Upgrad firmware-a Vašeg rutera.
Bilo bi korisno da s vremena na vreme proverite sajt proizvođača Vašeg rutera i da vidite da li je izbacio novu verziju firmware-a za Vaš uređaj. Firmware je u osnovi softver koji se nalazi u samom uređaju i pomoću kog uređaj radi. Kao i kod svakog softvera, to što prilikom testiranja nisu otkriveni bug-ovi, ne znači da ih nema. Najčešće su to sigurnosne rupe i propusti, koji omogućavaju neovlašćen pristup Vašoj mreži. Trenutnu verziju ćete pronaći uglavnom na stranici about ili system, u podešavanjima Vašeg rutera.

Kada komšija ne plati račun za internet

Kada komšija ne plati račun za internet

Konektujte se na Vašu bezbednu Bežičnu Mrežu.
Kao zaključak – filtriranje MAC adresa sa WPA2 (AES) enkripcijom i što komplikovanija moguća lozinka je najbolji mogući način da zaštitite Vašu bežičnu mrežu.
Naravno, kada sve ovo uradite na ruteru, moraćete da promenite podešavanja na svim Vašim uređajima, kako bi oni mogli da se konektuju na tu mrežu. Dovoljno je samo jednom da uključite opciju automatskog povezivanja na mrežu kada je ta mreža u blizini. Ako Vam sve ovo deluje kao previše posla i truda, setite se priče sa početka. Dva dodira mog ekrana i gledam Vaš FB nalog, čitam Vaše e-mailove…
Sve ovo Vam ne garantuje apsolutnu bezbednost, samo mnogo veći stepen sigurnosti i mnogo više truda i vremena potrebnog da se uloži kako bi neko neovlašćeno ušao na Vašu mrežu. Na kraju, i One-Touch-Lock brave i blindirana vrata Vam ne garantuju apsolutnu bezbednost (uvek ima ljudi koji mogu da ih obiju), ali za ostalih 99,9% je to nemoguće.

Hvala Vam što čitate naš bog!

Slike: slate.com
techinact.com
puahate.com

 


"Citate zvanicni blog Data Solutions Laboratorije za spasavanje podataka sa hard diskova, memorijskih kartica i RAID nizova" - datasolutions.rs

18 misljenja o “Zaštitite svoje podatke i bežični prostor

  1. Ivan says:

    Odlican tekst, hvala!

  2. Bojan says:

    Mislim da si napravio gresku kucajuci, nije WEP2 najsigurnija enkripcija nego WPA2.

  3. Ben says:

    Druze, ja i dalje ne mogu da zakljucam moj ruter. U pitanju je Air Live WL-5460AP v2. Ne mogu prvi korak da uradim. Moze li neka pomoc?

  4. Marko Radenkovic Marko Radenkovic says:

    Hvala tebi, Ivane!

    Bojane, typo u kucanju 🙂
    Hvala, ispravljeno je.

  5. Marko Radenkovic Marko Radenkovic says:

    @Ben:
    Default IP za tvoj ruter: 192.168.100.252. To treba da otkucas u browseru. user/pass: admin/admin.

    Ako to ne radi, onda je promenjena IP adresa rutera. Ili ako dobiješ logon screen, a ne radi ti user/pass, onda su oni promenjeni(ne znam ko je podešavao, pa nabrajam sve što bih probao vezano za prvi korak).

    Treća stvar koju možeš da uradiš (a to je najviše posla), jeste da resetuješ ruter na fabrička podešavanja (uzmeš iglu ili nešto slično tanko, i sa zadnje strane rutera imaš malu rupu sa oznakom reset), pritisneš dugme i držiš 10 sekundi. Posle toga IP adresa rutera će biti ova gore navedena, kao i user/pass. Da bi pristupio sa računara, moraćeš da promeniš mrežnu adresu na samom računaru na 192.168.100.* (umesto * bilo koji broj od 1-250)

    Najlakše, ako nisi ti podešavao i znaš ko jeste, pitaj ih… 🙂

    Pozz 🙂

  6. Ben says:

    Uspeo sam druze. 😀 Hvala veliko. Zapravo jedino sto me kocilo jeste sto nisam znao da treba da se promeni mrezna adresa na samom racunaru, i onda je sve islo glatko… 🙂 Alal vera… 🙂 Pozdrav

  7. Marko Radenkovic Marko Radenkovic says:

    Sjajno! I drugi put 🙂

  8. aj says:

    treba mi pomoc marko,htio bih da podesim router ali posto imam MOBILNI INTERNET nemoze da procita konekciju ako moze neka pomoc bio bih zahvalan !

  9. Marko Radenkovic Marko Radenkovic says:

    Da li je u pitanju ruter koji je vezan za mobilnog operatera ili neki drugi uređaj?

  10. Ben says:

    Da li je moguce da se na Air Live router WL 5460 AP v2 zakaci vise od dva uredjaja? Da napomenem da koristim lokalni internet i 4 uredjaja koja bi trebala da se zakace na taj router (3 telefona i racunar). Trenutno signal dopire do racunara i jednog telefona (jer su oni nakon restartovanja routera prvi zatrazili signal), a kada pokusam da zakacim druga dva telefona, na njima pise ‘Obtaining IP adress’. Ako restartujem router i nakon toga zakacim dva telefona, racunar takodje nece moci da se konektuje, dok ne dodje do novog restarta routera iako telefoni nisu konektovani u tom trenutku. Dakle kako god da se okrene najvise dva uredjaja se mogu konektovati bez obzira sto ne koriste 24h konekciju. Nadam se da nisam bio mnogo komplikovan. 🙂 Ima li leka?

  11. Marko Radenkovic Marko Radenkovic says:

    Pozdrav,

    iz opisa situacije, jedino sto mogu da zakljucim jeste da mozda nije dobro podesen DHCP na ruteru. Trebalo bi da je ruter setovan kao WAP Gateway(Od svih modova na ruteru, ta bi trebalo da stoji dole kao poslednja). Pod podesavanjim TCP/IP proveri da li je ukljucen DHCP(po opisu problema deluje kao da nije, tako da ruter mapira samo dve IP adrese koje ima ili da jeste ali je ogranicen opet samo na 2 IP adrese), pa ako je to situacija povecaj mu opseg adresa, tako da je raspon recimo 192.168.100.100 i 192.168.100.120. Tako omogucavas da se konektuje 20 uredjaja.

    Nadam se da ce ti to resiti problem.

  12. Ben says:

    Nisam uspeo da podesim. DHCP mi je bio ugasen, i sada sam ga postavio na Server (a moze jos da se podesi na Client i Relay Agent ), Server Ip je 0.0.0.0, a raspon sam smanjio na 20 uredjaja (bilo je na 100).Nakon tih poesavanja nec uopste da se konektuje nijedan uredjaj, a ni primarni racunar. Ono sto je problem je da mi je mode AP, i ne mogu da ga prebacim na GW, ne znam za sto, a na sve ostale mogu. Kada kliknem na GW i kada ga on reboot-uje nakon toga izbaci obavestenje da je adresa nedostupna.

  13. Ben says:

    Ovo je problem do mog internet operatera. Kada sam podesio sve ovo kako treba na AP, vise ne mogu ni jedan jedini uredjaj da konektujem, a primarni racunar ima konekciju. Stvar je sto su mi oni ogranicili da ne mogu da koristim svoj router za slanje konekcije na druge uredjaje (nisam znao da je to moguce), jer promovisu svoje neke ‘akcije’ i nude modem s routerom po nepovoljnim cenama. Nekako se sve potrefilo da mi ugase bas kada sam pokusao da podesim, i to me je zbunilo. Ne znam da li to ima veze i sa GW opcijom. U svakom slucaju veliko hvala Marko na ulozenom trudu.

  14. Marko Radenkovic Marko Radenkovic says:

    Uh… Menjaj operatera? 🙂

    Nema problema, zato smo tu 😉

Leave a Reply

%d bloggers like this: