Danas vjerojatno nema osobe koja barem jednom nije čula za pojam bežične mreže ili bežičnog umrežavanja. Onaj tko računalo koristi i u najmanju svrhu ( kao npr. za hobi i razonodu ) barem je jednom vidio pokoju “antenicu” smještenu na kućištu računala ili pak nekakav neugledan uređaj iz kojeg “strši” nekakva antena. I laik bi znao da se tu odvija nekakva “zračna” komunikacija odnosto prijem/odašiljanje signala. I u pravu je. Bežične mreže su svakako budućnost povezivanja računala a vjerojatno dok čitate ovaj tekst IT stručnjaci rade na danjem usavršavanju bežičnih mrežnih tehnologija i standarada. Premda još uvijek u razvojnoj fazi i doradi, zakleti štovatelji UTP “Ethernet” kabela u početku su uvidjeli prednosti bežičnih mreža ponajprije u kućnoj i malouredskoj uporabi a danas i šire. Neki bi rekli “kabel je kabel”, ali jednostavnost i brzina postavljanja bežične mrežne infrastrukture uvelike su na strani wireless mreža. Sjetite se koliko bi Vam bilo potrebno metara kabela, provlačenja i bušenja zidova da bi ste “umrežili” dva ili tri manja ureda jedne zgrade? Naravno, kod bežičnih mreža signal koji putuje zrakom osjetljiv je na brojne interakcije i prepreke pa brzina uvelike ovisi i o kvaliteti veze, fizičkoj vidljivosti, zaprekama i slično. Zrak kao medij podrazumjeva “otvorenu” komunikaciju za one pozvane ali iz za nepozvane sudionike. Srećom, sustavi sigurnosti su vrlo uznapredovali tako da bi za prosječnog manje zahtjevnog korisnika ovo bilo tek kao sporedna dodatna informacija. U ovom tekstu pokušati ćemo razjasniti neke osnovne pojmove vezane za sigurnost bežične mreže. Pa krenimo redom.
Kanali predstavljaju podjelu frekvencijskog prostora na dijelove. Svaki kanal zauzima mali frekvencijski pojas sa odredjenom sredisnjom frekvencijom. Kanala definiranih 802.11b standardom ima 14. U Hrvatskoj je dopusteno koristenje 13 kanala, dok je npr. u Francuskoj dopusteno koristenje 2 kanala. U Japanu smijete koristiti svih 14 kanala, a u Sjedinjenim Americkim Drzavama smijete koristiti 11 kanala. Bitno je za istaknuti da su kanali vrlo blizu, frekvencijski gledano, pa susjedni kanali utjecu jedan na drugi ( smetaju jedan drugome ).
Najveći problem današnjice wifi-ja i danas ostaje njena sigurnost. Dok ste kod “klasičnih” žičanih mreža kao medij za prijenos imali žičani kabel koji povezuje sve umrežene uređaje i računala ovdje je stvar puno drugačija. Kao medij za “transport” mrežnih paketa koristi se signal koji prolazi zrakom a znamo da zrak je svima dostupan pa je tako i Vaša bežična mreža nezaštićena od mogućih “nepozvanih” upada u sustav. Ipak nije sve tako sivo kad imaš s nekim otić na pivo J kaže Mile iz Hladnog piva. Danas postoji mnogo naprednih tehnologija pomoću kojih se možemo zaštititi od mrežnih upada u sustav. Ipak, niti jedna danas dostupna metoda nije apsolutno sigurna, no stručnjci IT industrije neprestalno rade na dalnjem usavršavanju zaštite bežičnih mreža a kao rezultat svih tih napora je da tehnologija napreduje i sigurnost se polagano povećava. U cijelom ovom procesu vrlo je važno i pravilno educirati korisnike jer niti jedna tehnologija danas dostupna nije u stanju predvidjeti sve naredbe koje su korisnici spremni izdati, a kojima mogu prouzročiti izuzetno veliku štetu, posebno ako se radi o mrežama velikih korporacija ili tvrtki.
WEP je skraćenica od "Wired Equivalent Privacy" ili "Wireless Encryption Protocol", a predstavlja sigurnosni protokol za bežične mreže utvrđene standardom 802.11b. Od WEP protokola se očekuje stupanj sigurnosti jednak onom kod “klasičnih” ožičenih lokalnih mreža (LAN-ova). WEP koristi različite veličine ključeva, standardnih duljina 64-, 128- i 256 bita. Što je ključ duži to ga je teže probiti, no i samim je računalima potrebno više vremena kako bi dekodirali podatke koji se prenose. WEP se temelji na enkripciji podataka između krajnjih točaka. Tajni ključ je poznat samo mobilnim stanicama i pristupnoj točki na koju se spajaju. Uz pomoć tajnog ključa paketi se kriptiraju prije slanja, a dodatno se vrši provjera integriteta kako bi paket nepromjenjen stigao na odredišnu točku . Onim bolje upućenim čitateljima poznata je i činjenica da je WEP manje pouzdana metoda zaštite bežične mreže te da ju je moguće probiti lako dostupnim alatima na internetu ( npr. AirSnort, Kismet, aircrack,…) . 2005. godine američki FBI je demonstrirao da se WEP enkripcija može probiti u manje od 3 minute! Naravno takva je situacija bila ranije iako se do danas dosta toga promijenilo. Usavršene su naprednije varijante WEP protokola, no mali je broj uređaja koji ih podržava ( npr. WEP2, WEPplus, Dynamic WEP ).
Zbog “manjkavog” WEP-a na scenu stupa drugi način enkripcije poznat pod nazivom WPA (eng. WiFi Protected Access). Ovaj sustav zaštite sastavni je dio 802.11i standarda a radi se o sustavu za uspostavljanje sigurnih bežičnih mreža i svrha mu je da zamijeni manje siguran WEP protokol. WPA uključuje mogućnost enkripcije podataka i autentifikacije korisnika. Podaci su kriptirani sustavom sa 128-bitnim ključem i 48-bitnim inicijalizacijskim vektorom. Prednost nad WEP standardnom je u korištenju TKIP protokola (eng. Temporal Key Integrity Protocol), koji dinamički mijenja ključeve za vrijeme korištenja sustava. Kombinacijom prethodno navedenih protokola sustav se može lagano obraniti od napada kakvi se koriste za otkrivanje ključa primjenom WEP protokola. WPA protokol također donosi i sigurniji sustav provjere identiteta. Uz pomoć navedenih tehnologija, probijanje u bežični mrežni sustav zaštićen WPA protokolom je relativno teško.
Svaki uređaj spojen na mrežu posjeduje fizičku adresu zapisanu u njegovom ROM-u ( čitaj: mrežnoj kartici ), a koja se sastoji od 12 heksadecimalnih znakova. Prva četiri označavaju ime proizvođača, dok ostali predstavljaju model i serijski broj uređaja. Većina danas dostupnih pristupnih točaka sadrži mogućnost zaštite putem filtriranja MAC adresa. Zamisao je jednostavna. Mrežni administrator podešava uređaj ( AP, Router ) na taj način da mu samo određena računala ( sa određenom MAC adresom ) mogu pristupiti. Kao što vrijedi i za WEP, ovakav način zaštite može na prvi pogled djelovati siguran s obzirom da su podaci o MAC adresama zapisani u ROM-u uređaja kojeg posjedujete samo Vi ( svaka mrežna kartica u svijetu ima jedinstvenu MAC adresu ), danas postoje softverski alati (npe. Soft MAC) koji omogućava proizvoljno dodjeljivanje MAC adrese mrežnom adapteru. MAC adresu možete pronaći na poleđini laptopa, USB wlan adaptera, wlan kartica i slično a ona u cjelini čini jedan nivo hardwarske zaštite WLAN-a. Iz svega ovdje navedenog za zaključiti je da je se MAC filtriranje ne preporuča kao sigurnosna zaštita wifi mreže.
SSID (Servise Set Identifier) jedinstveni je identifikator koji se dodaje svakom paketu kada se on šalje preko bežične mreže i služi kao lozinka kada se uređaj odnosno računalo želi povezati na mrežu. Računalo se neće moći spojiti na mrežu ukoliko ne posjeduje isti SSID, kao i pristupna točka odnosno AP ili router. Budući da se SSID može vidjeti kao obični tekstualni podatak, on ne pruža nikakvu sigurnost mreži. SSID je obično ime mreže koja služi za identifikaciju. Neki AP-ovi omogućavaju i potpuno ignoriranje cijelog SSID-a.
Iz samog naslova možete naslutiti da se radi o još jednoj aplikaciji integriranoj u sam operativni sustav Windows XP. Naime, Bežične mreže su donekle i zaživjele i dobile na popularnosti kod korisnika upravo pojavom dotičnog OS-a. Microsoft nas je ( ponovno? ) sve iznenadio i lijepo nam ponudio podršku za podešavanje pristupa bežičnim mrežama upravo u svojem Wireless Connection Manageru što se je kasnije, za početnike koji ulaze u svijet wifi-ja, pokazala kao prava stvar. U Control Panelu te u podizborniku Network Connections možemo pronaći ikonu Wireless Network Connection ( pod uvijetom da nam je bežična mrežna kartica pravilno instalirana na računalo ). To ćemo napraviti mali “rez” i napomenuti da većna današnjih bežičnih mrežnih kartica ( bilo da se radi o USB adapterima, PCI karticama ) dolazi sa već gotovom aplikacijom na CD-u sa driverima te služi za upravljanje postavkama dotične kartice. Svaki proizvođač kartica i adaptera “favorizira” svoju aplikaciju kako bi u potpunosti iskoristila mogućnosti dotične kartice i automatizirala spajanje. “Svatko hvali svoje žito” rekli bi neki ali mi ćemo se radije zadržati na već ranije spomenutom Wireless Connection Manageru. Desnim klikom na svojstva bežičnog mrežnog adaptera i odabir kartice Wireless Networks dobit ćemo popis nekliko korisnih i za “život naše wifi mreže” vrlo bitnih opcija. Krenimo redom. Svakako ostavimo kvačicu na opciji Use Windows to configure my wireless network settings. Malo niže naići ćemo na View Wireless networks te klikom na gumb windows će potražiti sve dotične bežične mreže oko Vas. Nemojte se iznenaditi ako na popisu ugledate nazive wifi mreža koje nisu Vaše ( vjerojatno su susjedove J). Na popisu će osvanuti naziv kojega ste upisali u polje SSID konfiguracijskog programa Vašeg routera ili AP-a. Klikom na odabranu mrežu automatski se povezujete na dotičnu. Ukoliko ste mrežu zaštitili nekom od enkripcija, npr. WEP ili WPA ( radi vašeg dobra nadamo se da jeste J), program će zatražiti unos ključa odnosno lozinke kojom ste zaštitili wifi mrežu. Voila! Upravo ste povezani. Oni napredniji korisnici malo će se zadržati na svojstvima bežičnom mrežnog adaptera te koristiti još poneku mogućnost kao na primjer mogućnost automatskog spajanja na željenu bežičnu mrežu ( Preferred networks ) gdje jednostavno klikom na gumb Add možemo nadodati željenu mrežu upisom SSID-a mreže te upisom WEP / WPA lozinke ukoliko je ona zaštićena. Naravno nakon ovoga skrenuti ćemo pozornost na tehničke stvari koje se odnose na brzinu prijenosa, bežične mrežne standarde, kompatibilnost i slično.
U dolje navedenoj tablici vidjeti ćete nekolicinu danas aktualni bežičnih mrežnih standarda:
IEEE 802.11 |
2 Mbps maksimalno |
IEEE 802.11a |
54 Mbps maksimalno (108 Mbps kod 40 MHz širokog pojasa) |
IEEE 802.11b |
11 Mbps maksimalno (22 Mbps kod 40 MHz širokog pojasa, 44 Mbps kod 60 MHz širokog pojasa) |
IEEE 802.11g |
54 Mbps maksimalno (g+ =108 Mbps, do 125 Mbps moguće; 2 Mbps u miješanom stanju (g+b) sa IEEE 802.11b) |
IEEE 802.11h |
54 Mbps maksimalno (108 Mbps kod 40 MHz širokog pojasa) |
IEEE 802.11n |
300 Mbps maksimalno |
|
Savjeti...
Korištenje vatrozida
Vatrozid može poboljšati zaštitu računala od hakera ili zlonamjernih programa (kao što su crvi) koji računalu pokušavaju pristupiti putem mreže ili Interneta. Vatrozid također može spriječiti računalo da drugim računalima pošalje zlonamjerne programe.
Korištenje antivirusa
Vatrozid sprječava neovlašten pristup , ali nije dobra zaštita od virusa pa biste trebali instalirati i koristiti protuvirusni program. Viruse možete primiti putem privitaka u porukama e-pošte, datoteka na CD-ovima ili DVD-ovima ili datoteka preuzetih s Interneta. Provjerite je li protuvirusni program ažuriran te ga postavite da redovito pregledava računalo.
Koristite mrežni sigurnosni ključ
Ako imate bežičnu mrežu, trebali biste postaviti mrežni sigurnosni ključ jer tako uključujete šifriranje. Kada je uključeno šifriranje, korisnici bez sigurnosnog ključa se ne mogu povezati s vašim računalom. Štoviše, sve informacije poslane putem mreže šifrirane su tako da samo računala s ključem za dešifriranje mogu pročitati informacije. Tako dodatno onemogućujete pokušaje neovlaštenog pristupa vašoj mreži i datotekama. Uobičajene su metode šifriranja bežičnih mreža zaštićeni bežični pristup (Wi-Fi Protected Access, WPA) i WPA2.
Promjena zadanih lozinki
Ako koristite usmjerivač ili pristupnu točku, vjerojatno ste koristili zadano ime i lozinku za postavljanje opreme. Većina proizvođača za svu svoju opremu koristi isti zadani naziv i lozinku, što bi netko mogao iskoristiti za pristup usmjerivaču ili pristupnoj točki bez vašeg znanja. Da biste to izbjegli, promijenite zadano administratorsko korisničko ime i lozinku za usmjerivač. Upute za promjenu imena i lozinke potražite u informacijama dobivenima s uređajem.
Promijenite zadani naziv mreže (Service set identifier, SSID)
Umjerivači i pristupne točke koriste naziv bežične mreže, tzv. naziv mreže (Service set identifier, SSID). Većina proizvođača koristi isti SSID za sve svoje usmjerivače i pristupne točke. Preporučujemo da promijenite zadani SSID da biste onemogućili preklapanje vaše bežične mreže s drugim bežičnim mrežama koje koriste zadani SSID. Tako ćete i lakše prepoznati svoju bežičnu mrežu ako ih u blizini ima više jer se SSID najčešće prikazuje na popisu dostupnih mreža.
Pažljivo postavite usmjerivač ili pristupnu točku
Bežični se signal može prenositi nekoliko stotina metara pa se signal s vaše mreže može emitirati i izvan vašeg doma. Postavljanjem usmjerivača ili pristupne točke bliže središtu kuće nego vanjskom zidu ili prozoru možete ograničiti područje koje pokriva bežični signal.
Obavezno uključite filter MAC adresa
Svaka mrežna kartica ima jedinstvenu fizičku adresu (MAC adresa) koja joj je dodjeljena od strane proizvođača mrežne opreme. Poželjno je pri konfiguraciji usmjerivačnog uređaja (router) uključiti filter koji omogućava samo određenim MAC adresama da se spoje na mrežu.
Gašenje ADSL uređaja
Najsigurnija ali i najradikalnija metoda zaštite. Upotrijebite ju ako ste imalo skeptični u sve gore navedeno.
Autor: Aleksandar Skendžić, mag. educ. inf. est. hist.
Stručni suradnik VIDI IT časopisa