ביטול מנגנון ה-DHCP

מנגנון ה-DHCP הקיים בכל נתב, מקצה לכל כרטיס רשת המתחבר אליו (חוטית או אלחוטית) כתובת IP באופן אוטומטי.  לפיכך, אם הרשת האלחוטית אינה מוגנת (או שההגנה שלה נפרצה) יכול המחשב הזר המתחבר אל הנתב, לקבל כתובת IP חוקית באופן מיידי.

על מנת לסגור את הפירצה הזו יש כאלה הנוטים לבטל את מנגנון ה-DHCP של הנתב ולקבוע לכל מחשב כתובת IP באופן ידני.  ניתן לקרוא על נושא זה במדריך הזה.  סיבה נוספת המביאה משתמשים לבטל את מנגנון ה-DHCP היא הצורך לקבוע כתובת IP קבועה למחשב מסוים לצורך קידום פורטים (port forward) עבור תוכנות שיתוף קבצים (עוד על נושא זה ניתן לקרוא כאן.)

לכאורה זו נראית שיטה יעילה, אך יש לה מספר פגמים.  ראשית, למרבית הנתבים יש טווח כתובות IP מוגדר -- רוב הנתבים מחלקים כתובות IP בסגמנט 192.168.1 או בסגמנט 192.168.0, כך שמאוד קל לנחש כתובת IP חוקית.  שנית, ניהול כתובת IP באופן ידני היא משימה מורכבת, במיוחד כאשר יש ברשת מספר גדול של מחשבים.

ההמלצה שלי היא להימנע משימוש בשיטה זו, אך אם כבר בחרת לעשות בה שימוש, כדאי מאוד לשנות את טווח הכתובות של הנתב לסגמנט שאינו בשימוש נפוץ.

ה-MAC (ראשי תיבות של Media Access Control) הוא מזהה חד חד ערכי, בעל 12 ספרות הקסה-דצימליות, של כרטיס הרשת האלחוטי שלכם.  באמצעות 12 ספרות הקסה-דצימליות ניתן לייצג את המספר 2⁴⁸ (כלומר 281,474,976,710,656).  בפועל, ניתן להתייחס אל ה-MAC כאל תעודת הזהות של כרטיס הרשת -- אין שני כרטיסי רשת בעולם שיש להם MAC זהה.  בצילום המסך משמאל, כתובת ה-MAC של כרטיס הרשת (Physical Address) היא 00‎-12-‎CF-‎9A-‎71-‎8F.

הערה: למעשה, לא רק לכרטיסי רשת אלחוטיים יש MAC ייחודי.  לכל התקן ברשת (כרטיס רשת חוטי, כרטיס אלחוטי, נתב וכיוב') יש כתובת MAC ייחודית משלו. 

סביר להניח שבנתב שלכם קיים מנגנון החוסם את האפשרות שכרטיס רשת, בעל MAC מסוים, יתחבר אל הנתב האלחוטי.  הפעלת האפשרות הזו בנתב (בדרך כלל היא נקראת MAC Address Filtering) והגדרת ה-MAC-ים של כל כרטיסי הרשת שלכם, תמנע מכרטיסים בעלי MAC זר להתחבר אל הרשת שלכם.  את כתובת ה-MAC של כרטיסי הרשת תוכלו למצוא די בקלות באמצעות הפקודה ipconfig /all.

לכאורה, זה נראה מנגנון יעיל מאוד אלא שיש בו פגם מהותי אחד -- כמו תעודות הזהות של מדינת ישראל, גם את ה-MAC ניתן לזייף די בקלות.  באמצעות כלים פשוטים למדי ניתן לנטר את התקשרות האלחוטית ולאתר את כתובת ה-MAC של כרטיס הרשת האלחוטי החוקי ולהשתמש בה על מנת להתחבר אל הנתב האלחוטי. 

אני ממליץ לוותר על אפשרות האבטחה הזו כיוון שהיא קלה מאוד לפריצה ונותנת רק אשליה של אבטחה.

הצפנה באמצעות סיסמא במנגנון WEP,‏ WPA או WPA2

השיטה הנפוצה ביותר (וגם היעילה ביותר) להגנה על הרשת האלחוטית ומניעת אפשרות הציטוט למידע העובר בה, היא הצפנה.  הרעיון המונח בבסיס ההגנה הזו הוא די פשוט -- אם נצפין את התעבורה האלחוטית, לא יהיה ניתן לפענח את המידע העובר בין המחשבים לנתב ועל ידי כך נמנע פריצות אל הרשת.  על בסיס הרעיון הזו פותחו מספר מנגנוני הצפנה, השונים זה מזה בעוצמת ההגנה והתקורה (overhead) שהם מעמיסים על ערוץ התקשורת.

תקן ההצפנה הראשון שפותח מכונה WEP (ראשי תיבות של Wired Equivalent Privacy.  מידע מפורט יותר על התקן הזה ניתן למצוא כאן).  זהו תקן הצפנה בסיסי מאוד ועד לא מזמן גם היה הנפוץ ביותר.  הבעיה עם תקן ה-WEP היא שרמה ההצפנה שלו נמוכה וקלה מאוד לפריצה.  באמצעות כלים פשוטים ניתן לנטר את התקשורת האלחוטית ולפענח את מפתח ההצפנה. 

אני ממליץ להצפין את התקשורת האלחוטית במנגנונים מתקדמים יותר (ראה להלן).  למרות זאת, מי שמעוניין (או חייב) להשתמש בהצפנת WEP יגדיר מפתח הצפנה באורך 64 (בגלל חולשת השיטה, אין טעם לבחור מפתח ארוך יותר), יבחר מפתח של 10 ספרות הקסה-דצימליות וירשום אותם בשדה Key1.  לאחר מכן יש להקליד את המפתח הזה בתוכנה של הכרטיס האלחוטי במחשב.  (ניתן להיעזר בתמונה משמאל).

בגלל חולשת תקן ה-WEP פותחה שיטה נוספת המכונה WPA (ראשי תיבות של Wi-Fi Protected Access.  מידע מפורט יותר על התקן הזה ניתן למצוא כאן).  זהו תקן אבטחה מתקדם יותר הנותן מענה טוב לחולשת ההגנה של תקן WEP.  ראשית, מפתח ההצפנה בתקן WPA ארוך יותר (פי 5~) מזה של WEP.  שנית, תקן אבטחה זה מגדיר פרקי זמן נתונים בהם מוחלף מפתח ההצפנה ולכן מקטין את משך הזמן בו ניתן לפענח את המפתח. 

מנגנון ה-WPA עושה שימוש בפרוטוקול ההצפנה TKIP (ראשי תיבות של Temporal Key Integration Protocol.  מידע נוסף כאן).  לכן לעיתים קרובות מכונה השיטה הזו בתפריטי הנתבים כ-WPA (TKIP)‎.  הצפנה במנגנון ה-WPA נותנת הגנה טובה על הרשת האלחוטית, במיוחד אם נבחר מפתח הצפנה המכיל תווים, ספרות וסימנים מיוחדים.  קיימות דרכים לפרוץ את מנגנון ה-WPA אבל שיטות אלה מבוססות על ניחוש מילוני (dictonary) של מפתח ההצפנה.  אי לכך בחירת מפתח מורכב, תקטין מאוד את סכנת הפריצה. 

כאן גם המקום להזכיר, שהסתרת ה-SSID מקלה מאוד על ניחוש מפתח ההצפנה כיוון שב-TKIP מבוצע HASH של מפתח ההצפנה עם ה-SSID ואם ה-SSID לא משודר, הרבה יותר קל לגלות את המפתח.  לכן רצוי מאוד, כפי שהמלצתי לעיל, לא להסתיר את ה-SSID.

אני ממליץ להשתמש במנגנון ה-WPA רק אם הנתב או הכרטיס האלחוטי אינם תומכים ב-WPA2, המתואר להלן.

נכון להיום WPA2 הוא מנגנון ההצפנה הטוב ביותר לרשתות אלחוטיות וככל הידוע אין שיטה לפריצה שלו.  המנגנון מסתמך על הפרוטוקול AES (ראשי תיבות של Advanced Encryption Standard.  מידע נוסף כאן).  לכן לעיתים קרובות מכונה השיטה הזו בתפריטי הנתבים כ-WPA2 (AES)‎.  גם כאן, בדומה ל-WPA כל מה שיש לעשות הוא לבחור במפתח הצפנה מורכב וארוך.  הבחירה ב-WPA2 עדיפה גם מבחינת ניצול רוחב הפס האלחוטי, כיוון שמנגנון זה מנצל חלק קטן מרוחב הפס, לעומת WEP ו-WPA שיכולים להשתמש בעד 40% מרוחב הפס.

בשורה התחתונה, במידה והנתב וכרטיסי הרשת האלחוטיים שלך תומכים ב-WPA2, אני ממליץ להשתמש במנגנון זה.  כדאי לוודא באמצעות עדכון קושחה (firmware) שהנתב וכרטיס הרשת שלכם תומכים ב-WPA2.

הערה: מחולל סיסמאות טוב ניתן למצוא כאן.  רצוי מאוד לרשום את הסיסמא בקובץ טקסט ולשמור את הקובץ הזה על המחשב או על Disk on Key.

ביטול האפשרות לניהול מרחוק

במרבית הנתבים האלחוטיים קיימת אפשרות לניהול מרחוק דרך רשת האינטרנט.  אופציה זו היא שימושית במידה והינך מנהל ותומך ברשתות מרוחקות, אך במרבית המקרים האחרים אפשרות זו מהווה חור אבטחה משמעותי כיוון שקיימת סכנת פריצה לנתב דרך רשת האינטרנט הציבורית.

בחלק מהנתבים קיימת אפשרות להגביל את כתובת ה-IP המרוחקת ממנה ינוהל הנתב, אך אופציה זו שימושית רק אם ברשותך כתובת IP חיצונית קבועה.  לחילופין (ולעיתים בנוסף), קיימת אפשרות לנהל את הנתב דרך פורט השונה מפורט 80 הסטנדרטי.  במידה והינך נדרש לנהל את הנתב מרחוק, רצוי מאוד להצטייד בנתב שיש בו את שתי האופציות הללו.

בעקרון, ורק אם ממש אין ברירה אחרת, אני ממליץ לכבות את האפשרות לניהול מרחוק של הנתב.  בחלק מהנתבים, אפשרות זו כבויה מראש כברירת מחדל, אבל כדאי לוודא זאת.

הקטנת עצמת השידור האלחוטי

האפשרות להקטנת עוצמת השידור של הנתב האלחוטי אינה קיימת בכל הנתבים, אך אם היא קיימת בנתב שלך כדאי לשקול את היישום שלה כאמצעי נוסף להגנה על הרשת האלחוטית.  הקטנת עצמת האות האלחוטי מצמצמת את רדיוס הטווח היעיל שלו ומונעת זליגה של האות האלחוטי אל מעבר לחדר/דירה/משרד בה הוא נדרש.  באופן זה ניתן להקטין את הסיכון הקיים בציטוט וניטור של האות האלחוטי על ידי גורמים זרים. 

מציאת עוצמת האות המתאימה יכולה להיות מסובכת וסביר שתדרוש הרבה ניסוי וטעייה, במיוחד במבנים ישראלים הכוללים הרבה בטון וברזל, אך זו בהחלט יכולה להיות אופציית אבטחה מעניינת, במיוחד כאשר הנתב האלחוטי והמחשב שמחובר אליו אלחוטית נמצאים באותו חדר.

אני ממליץ להשתמש בשיטה זו רק כתוספת לאחת או יותר מהאופציות שהומלצו לעיל.

ביטול מנגנון ה-UPNP בנתב

UPNP (ראשי תיבות של Universal Plug and Play, מידע נוסף יש כאן) הוא אוסף של פרוטוקולים המאפשרים להתקנים שונים, ברשת מבוססת IP, לתקשר אחד עם השני ללא צורך ביישום של הגדרות מיוחדות.  לדוגמא, נתב שמנגנון ה-UPNP שלו פעיל, יכול לפרסם ברשת את עצם קיומו ואת תכונותיו.  באופן דומה, מדפסת רשת התומכת ב-UPNP יכולה לפרסם את שירותיה ולאפשר למחשבים ברשת להתקשר אליה.

השימוש ב-UPNP בתוך הרשת הביתית הוא אוטומטי ולא מצריך שום אימות.  לפיכך, כל תוכנה שמזהה מנגנון UPNP פעיל בנתב, יכולה לגשת אליו ולקבל עליו שליטה.  במקרים מסוימים, עוצמת השליטה הזו יכולה להיות גבוהה אף מזו שיש למשתמש בנתב דרך ממשק התפריטים שלו. 

רבים עושים שימוש במנגנון ה-UPNP על מנת לאפשר קידום פורטים (port forward) באופן אוטומטי בתוכנות שיתוף קבצים (P2P).  אבל באמצעות מנגנון ה-UPNP אפשר לא רק לקדם פורטים, אלא גם אפשר להוציא מידע חסוי כמו שם המשתמש והסיסמא לרשת האינטרנט, מפתח ההצפנה האלחוטי וכדומה.  בנוסף, באמצעות UPNP ניתן לפתוח את ממשק הניהול מרחוק של הנתב, לשנות סיסמאות וכיוב'.  פורצים מקצועיים יכולים לבצע, באמצעות UPNP, התקפה מרחוק תוך שימוש בקוד ג'אווה סקריפט או פלאש שהדפדפן של המשתמש התמים מוריד למחשב ומריץ תוך כדי צפייה באתר זדוני.

למרות ש-UPNP לא קשור באופן חד חד ערכי לאבטחת רשתות אלחוטיות, ההמלצה שלי היא לבטל אותו.

ביטול מנגנון ה-WPS בנתב

מנגנון ה-WPS (ראשי תיבות של Wi-Fi Protected Setup, מידע נוסף יש כאן) מאפשר להגדיר בקלות ובמהירות קישור אלחוטי מאובטח ב-WPA2 בין הנתב לבין ההתקן אלחוטי - מחשב, טאבלט, טלפון חכם, נקודת גישה וכדומה. 

מנגנון זה מבוסס על תהליך "לחיצת יד" (handshake) אוטומטי המופעל באמצעות לחיצה על כפתור בנתב ובהתקן או על ידי שימוש בקוד בן 8 ספרות (PIN), כאשר הספרה האחרונה משמשת לביקורת בלבד.

"לחיצץ היד" מתבצעת בשני שלבים - ראשית נשלחות 4 הספרות הראשונות ואח"כ 3 האחרונות.  המשמעות היא שיש בסה"כ 10,998 קודים אפשריים מה שמאפשר את גילוי הקוד בקלות רבה.  בסוף 2011 אותרה החולשה של מנגנון זה והודגמה היכולת לחדור לנתבים ולרשת הביתית תוך פרק זמן קצר. 

כתוצאה מכך, בראשית 2012, שחררו מרבית היצרניות המובילות עדכוני קושחה המכבים מנגנון זה כברירת מחדל ובמידה שהוא פעיל, מקשים על החדירה.  בנתבים שיצאו לשוק מאז גילוי הבעיה במנגנון ה-WPS, כבר מיושמים מראש תיקונים אלה.

למרות שברוב הנתבים המודרניים מנגנון ה-WPS כבר מבוטל כברירת מחדל, ההמלצה שלי היא לבדוק את מצב ההגדרה בנתב שלכם ובמידת הצורך לבטל אותו.

הגדרת החיבור וההצפנה של כרטיס הרשת האלחוטי ב-Windows XP

1.  לחץ על כפתור ה-START בפינה השמאלית התחתונה של המסך (בממשק עברי הכפתור נמצא בפינה הימנית התחתונה).

2.  בשורת ה-RUN הקלד את הפקודה ncpa.cpl ולחץ enter.  יפתח חלון בו רשומים כל כרטיסי הרשת המותקנים במחשב.  דוגמא לכך ניתן לראות משמאל.

3.  באמצעות הכפתור הימני של העכבר יש ללחוץ על כרטיס הרשת האלחוטי.  בתפריט שיפתח יש ללחוץ על View Available Networks.

4.  כתוצאה מכך יפתח חלון הכולל את רשימת כל הרשתות האלחוטיות אותן איתר כרטיס הרשת האלחוטי.

5.  בשלב זה יש ללחוץ על שם הרשת אליה מעוניינים להתחבר וללחוץ על כפתור ה-Connect בחלק התחתון של המסך.

6.  במידה והרשת האלחוטית מוצפנת, יפתח חלון בו תתבקש להקליד את סיסמת הרשת.  יש להקליד את אותה סיסמא שהוגדרה בנתב.

7.  תהליך החיבור אורך מספר שניות ובסיומו תופיע בצמוד לשם הרשת בחלון המילה Connected .

הגדרת החיבור וההצפנה של כרטיס הרשת האלחוטי ב-Windows 7