אבטחת רשתות אלחוטיות

אבטחת רשתות ונתבים אלחוטיים

חלקים משמעותיים ממדריך זה נתרמו על ידי rokey33 ועל כך תודתי.

הקדמה

כיום, כשהרשתות האלחוטיות בישראל הפכו להיות נפוצות בקרב הארגונים הגדולים והמשתמשים הביתיים ,יש צורך לנקוט באמצי הגנה על הרשת מפני האקרים וגורמים זרים שרוצים לפרוץ לרשת ולחולל בה שמות, או לגלוש ולגנוב ממך רוחב פס מבלי שתדע.

כול מה שצריך זה מחשב נייד, תוכנה וקצת סובלנות כדי לפרוץ לרשת שלך ולכן כדאי ליישם את אחת או יותר מהאפשרויות הבאות על מנת לתת הגנה טובה ויעילה על הרשת האלחוטית. בשלב ראשון אני יסקור בקצרה את האפשרויות העומדות בפניך ובהמשך ארחיב על כל אחד מהם.

כבר בשלב זה חשוב להדגיש שאין אבטחה מושלמת לשום רשת (חוטית או אלחוטית) ופורץ עיקש עם מטרה ברורה ואמצעים להשגתה, יוכל להתגבר על כל מנגנון אבטחה שתיישמו. עם זאת ובהנחה שעל המחשב שלכם לא שמורים סודות כמוסים ביותר, יישום אפשרויות האבטחה הנסקרות במדריך הזה יגביר עד מאוד את בטחון הרשת האלחוטית שלכם.

סקירה קצרה של האפשרויות השונות לאבטחת הרשת

הפעלת אופציית ה-security של הנתב האלחוטי ושימוש באחת בהצפנות: wep, wpa-psk, wpa raduis, 802.1x או wpa2 (אני ירחיב בהמשך ויסביר רק את השימוש בהצפנת wep או wpa-psk).

ביטול שירות חלוקת כתובות של הנתב (מנגנון ה-DHCP) שמחלק למחשבים ברשת את כתובות IP אוטומטית, וזאת כדי למנוע מגורם זר להתחבר ולקבל כתובת אוטומטית מהנתב. לאחר הביטול, יש להגדיר ידנית את כתובת הרשת בפרוטוקול TCP/IP בכל אחד מכרטיסי הרשת במחשבים.

ביטול מנגנון SSID Broadcast של הנתב. באמצעות מנגנון זה נקבע שם מוסכם בין הנתב לבין התחנות שרק מי שמציין אותו יכול להתחבר לנתב.
שינוי שם מזהה הרשת SSID של הרשת האלחוטית לשם אחר במקום שם ברירת המחדל שמוגדר בנתב.
שינוי סיסמת הנתב מברירת מחדל לסיסמה אישית שלכם.
הפעלת מנגנון סינון כתובת MAC של הנתב -- כך תוכלו להגביל את הגישה לרשת אלחוטית רק לכרטיסי רשת מוכרים בלבד.

פירוט האפשרויות השונות לאבטחת הרשת

אפשרות 1

במידה והנתב שלכם לא מוגדר לשימוש באפשרות של חיבור אלחוטי, יש להפעיל את האופציה של השידור האלחוטי הנתב.

יש להקליד את כתובת הנתב בדפדפן (לדוגמא בנתב של חברת EDIMAX שעליו מודגמות האפשרויות השונות, יש להקליד את הכתובת http://192.168.2.1). בחלון שיפתח יש להקליד את ה-User Name כ-admin ואת הסיסמא 1234.

בתפריטי הנתב יש לבחור את ה-TAB שנקרא General Setup ושם לבחור את האופציה Wireless. בחלון שיפתח (ראו תמונה מצ"ב) יש לסמן את האפשרות Wireless module function על מצב enable ואז ללחוץ על apply.

עכשיו יש לבחור את האופציה security -- בחלון שיפתח יוצגו מספר אפשרויות להצפנת נתונים שתפקידם להצפין את המידע המשודר בין התחנות לנתב ולהפך. ההצפנה הבסיסית ביותר היא wep. זו הצפנה שקל יחסית לפרוץ אותה, אך יישומה ימנע מזרים להגיע בטעות אל הרשת שלכם. הצפנה חזקה יותר היא wpa ויישומה (באמצעות סיסמא ארוכה במיוחד) יכול למנוע פריצות זדוניות לנתב ולרשת שלכם. ההצפנה החזקה ביותר היא wpa2 ואני ממליץ להשתמש בה רק אם אתם ממש חוששים למידע שהעובר מהמחשבים שלכם אל הנתב. חשוב לזכור שהצפנת wpa2 אינה קיימת בכל הנתבים הבייתים הנפוצים היום.

במדריך אני אתמקד על הצפנות wpa ו-wep שהן, כאמור, מספיקות להגן על הרשת הביתית הממוצעת.

הערה חשובה: יש לוודא שהנתב והתוכנה שמגיעה עם הכרטיסים האלחוטיים תומכת בתקנים אלה. אם לא, יש לעדכן את הדרייבר של כרטיס הרשת וכמו כן לעדכן את התוכנה שבאה עם כרטיס הרשת.

wep -- (ראשי תיבות של Wired Equivalent Privacy). זהו תקן האבטחה הבסיסי והנפוץ ביותר כיום. התקן מצפין את התקשרות האלחוטית ברמה נמוכה מדי ולכן נחשב קל לפריצה. למרות זאת עבור רשת ביתית קטנה הוא אמור להספיק. מי שרוצה להשתמש בהצפנת wep שיגדיר כמו בתמונה:

בתמונה בחרתי באופציה wep, ב-key length (אורך מפתח ההצפנה) באורך 128 (הנתב בדרך כלל תומך ב- 64bit, ב- 128bit או ב- 512bit), במספר התווים שיש להקליד בהתאמה למפתח ההצפנה (הנתב תומך ב- 10 תווים, 26 תווים או 32 תווים), ב-key foramt מסוג hex (הנתב תומך ב-hex וב-ASCII. בחרתי ב-hex כיוון שלפי דעתי זו אופציה יותר טובה מ-ascii כי יש לך אפשרות לשלב בסיסמה אותיות a-f ומספרים 0-9). בוחרים ב-key1 ואז מכניסים סיסמה (שילוב של אותיות ומספרים) באורך הנדרש לפי אורך המפתח שבחרת ועושים apply.

wpa -- (ראשי תיבות של Wi-Fi Protected Access). זהו תקן אבטחה מתקדם יותר המהווה שיפור לתקן wep. תקן אבטחה זה מגדיר פרקי זמן נתונים בהם מוחלף מפתח ההצפנה ולכן נותן הגנה טובה על הרשת האלחוטית.

אני בחרתי להשתמש בהצפנת wpa-psk -- (ראשי תיבות של wpa per-shread-key). ב-WPA Unicast Cipher Suite בחרתי באלגוריתם tkip (ראשי תיבות של Temporal Key Integrity Protocol) ובחרתי בפורמט של passphrase שנותן אפשרות של הקלדת סיסמה מ- 8 תווים עד 64 תווים (שילוב של אותיות ומספרים). כמו כן יש אפשרות לבחור גם ב-hex.

את אותן ההגדרות שהגדרת בנתב יש להגדיר בתוכנה של כרטיס הרשת האלחוטי ולדוגמה בתמונה:

אפשרות 2

אם לא נגענו בהגדרות הנתב, סביר להניח שהנתב עדיין במצב DHCP (ניתן לוודא זאת באמצעות תפריטי הנתב). במצב זה יש להיכנס לחלון DOS (התחל->הפעלה לרשום cmd וללחוץ ENTER). בחלון שיפתח יש לרשום ipconfig, לקחת את הכתובות תחת כרטיס הרשת ולהעתיק אותה לדף. ראו תמונה:

בכל מחשב ברשת הביתית יש להיכנס ל-"חיבורי הרשת שלי" ,ללחוץ באמצעות הכפתור הימני של העכבר על כרטיס הרשת ואז לבחור במאפיינים. בחלון שיפתח יש לבחור את שורת פרוטוקול ה-TCP/IP וללחוץ על Properties. בחלון שיפתח יש להגדיר ידנית את ה-ip, את ה-mask, את ה-gateway. את ערכי ה-dns יש למלא לפי כתובות הספק שלך (ניתן להיעזר במאמר על הגדרות ספקי הולכה לצורך כך). בסיום הכנסת כל הערכים יש ללחוץ "אישור" פעמיים.

עכשיו יש לחזור לתפריטי הנתב, שם להיכנס לטאב lan ושם להפוך את האפשרות של DHCP Server ל-disable ובסוף לעשות apply.

אפשרות 3

השלב שלישי באבטחת הרשת האלחוטית הוא ביטול האופציה בנתב לשידור מזהה ה-ssid או בשמו המלא Session ID. מנגנון זה קובע שם מוסכם בין הנתב לבין המחשבים ברשת הביתית. רק מחשב שמציין את השם הזה במפורש, יקבל גישה לרשת האלחוטית. שידור אוטומטי של ה-ssid מונע את הצורך של המחשב לציין את השם המפורש.

עכשיו, אנחנו בעצם מבטלים את מנגנון השידור כך שבסריקה אלחוטית לא נראה את שם מזהה הרשת, אלא נראה רק קיום הרשת. באופן זה לא יוכל להתחבר לרשת שלנו מחשב זר שאינו יודע את מזהה ב-ssid.

כדי לבטל את שידור ה-ssid בנתב יש להיכנס לטאב ה-wireless ושם לאופציה Advanced Settings. בשורת ה-Broadcast EESID יש לסמן disabled.

אפשרות 4

בדרך כלל שם מזהה ה-ssid של הנתב מוגדר על ידי ברירת מחדל ולכן בשלב זה רצוי מאוד לשנות את מזהה ה-ssid לשם ששונה מברירת המחדל שנותן הנתב.

ב-Edimax 6114Wg יש להיכנס בנתב לטאב ה-wireless ושם לבחור באופציה Basic Settings. בשרות ה-essid יש לשנות את ברירת המחדל לשם שאתה רוצים לתת לרשת האלחוטית. לסיום יש ללחוץ apply.

אפשרות 5

על מנת לשפר עוד יותר את אמצעי האבטחה של הנתב יש לשנות את סיסמת ברירת המחדל שמוגדר בנתב ע"י היצרן בחלון הזה. באופן זה מי שמכיר את סוג הנתב שיש לנו לא יוכל להיכנס לתפריטים שלו ולשנות את הפרמטרים השונים המוגדרים בו.

אפשרות 6

אחרי שעברנו בשלום את השלבים שתוארו, הגענו לפעולה האחרונה והחשובה בהגנה על הרשת האלחוטית שלנו והיא הפעלת מנגנון סינון כתובות (MAC Address Filtering).

זוהי האופציה המתקדמת והטובה ביותר לאבטח רשת אלחוטית (וגם קווית) מהתחברות של אנשים שונים אליה. כאן יש להגדיר את ה-MAC הספציפיים של כרטיסי הרשת במחשבים שנמצאים ברשת הביתית שלך. כלומר, אנו בונים רשימה סגורה מראש של כרטיסי רשת שהם ורק הם יוכלו להתחבר לנתב.

את כתובת ה-MAC של כרטיס הרשת ניתן למצוא באמצעות הפקודה ipconfig /all.

לחץ על התחל->הפעלה. בשורת הפקודה רשום cmd ולחץ ENTER. בחלון ה-DOS שיפתח יש לרשום ipconfig /all ואז בפלט שיתקבל יש לחפש את השורה physical address ולהעתיק לדף את הכתובת הפיזית של כרטיס הרשת האלחוטי.

עכשיו יש להיכנס בנתב לטאב ה-wireless ושם לבחור באופציה Access Control. בחלון שיפתח יש לסמן ב-V את האפשרות של Enable Wireless Access Control. בשורת ה-MAC address יש למלא את כתובת ה-MAC שרשמנו על דף (חשוב למלא בלי נקודתיים או רווח)/ לדוגמא, אם הכתובת שהתקבלה היא 00-40-F4-C3-51-42, יש להגדיר את הכתובת כמו בתמונה ואז ללחוץ על apply changes. יש לוודא שהכתובת הנכונה נכנסה לטבלת ה-MAC.