|
WLAN routerek beállítása lépésről lépésre
Ezen az oldalon az első két részben a Wifi hálózatok
biztonságáról, valamint az otthoni WLAN routerek beállításáról
olvashatsz. Az utolsó rövid rész pedig tanácsokkal szolgál azoknak,
akiknek valamiért nem jól működik az otthoni Wifi-je.
Pl. gyenge a jelszint, akadozik a kapcsolat stb.
Nem elég megvenni
A drótnélküli hálózat (Wireless LAN, vagy WLAN) előnyei mindenki
számára ismertek. Annál kevesebbet tudnak viszont az emberek azokról a
biztonsági kockázatokról, melyek a WLAN eszközök
hanyag, vagy rossz beállításából erednek.
A szélessávú internet elterjedésével, és az olcsó routerek
megjelenésével együtt egyre népszerűbbé vált a WIFI használat. Ma már
szinte minden újonnan létesülő új otthoni hálózat WLAN routerrel
működik, de az eszköz helyes beállítása már meghaladja egy átlagos
felhasználó ismereteit. Napjainkban a legóvatosabb becslésem szerint is
a routerek több mint a harmada mindenfajta védelem
vagy titkosítás nélkül csücsül az otthonokban és irodákban. Az
ADSL és kábeles netkapcsolaton üzemelő védtelen routerek
száma akár több százezerre is tehető szerte az
országban. Ennek nagyon örülnek azok a gyerekek, akiknek nincsen saját
internet hozzáférése, és a szomszédét használják, de azok a hackerek
is, akik az után egy autóban ülve a mi IP címünket felhasználva
követhetnek el bűncselekményeket.
Ha WLAN-t használunk, és nem védjük le rendesen, akkor egyrészt bárki
fölkapcsolódhat a WAN-ra, (Wide Area Network = Nagykiterjedésű Hálózat,
ami ebben az esetben az internetet jelenti), a mi
sávszélességünket szűkítve az AP** (Access Point = WIFI hozzáférési
pont) hatósugarában, másrészt hozzáférhetnek a belső hálón megosztott
adatainkhoz, de akár kárt is okozhatnak, ezért igen körültekintően
kell eljárnunk.
Ha
régi vezetékes routerünk, esetleg kisebb hálózatunk van, melyen DHCP
üzemel, és azt kívánjuk vezeték nélkül is elérhetővé tenni, akkor
vehetünk hozzá egy különálló AP-t.
Használt
öreg AP-k esetében jól gondoljuk meg, hogy mit választunk, mert a régi
AP-kben nem mindig van meg a kellő védelem. Ha pl. egy olyan régi
eszközt veszünk meg, ami maximum a WEP-et (lásd lejjebb) ismeri, azzal
nem járunk jól, mert azt ma már sznte gyerekjáték feltörni, főleg
ha nagy adatforgalomra használjuk a Wifit.
De nehogy azt higgyük, hogy a modern routerekkel, AP-kkal biztonságban vagyunk!
A WEP helyett kifejlesztett WPA-t már régen feltörték, de a WPA2 sem jelent 100%-os védelmet, mert az is hasonlóan végezte.
Ha tehát 100%-ban biztonságban akarjuk magunkat érezni, annak csak
egyetlen módja van: ne használjunk vezeték nélküli kapcsolatot!
Egy biztos: egy régebbi
AP-t VPN (virtuális magánhálózat) nélkül használva gyakorlatilag
védelem nélkül szórjuk a
dolgainkat az éterbe. Az újabb AP-k és routerek többsége (és az összes
valamire
való router) azonban már támogatják a WPA2-t, jelenleg pedig be kell
érnünk ennyivel. Egyelőre egy új titkosítási protokollra volna szükség,
de erre még nincs konkrét elképzelés. Ha lesz valami, akkor egyes
routerek alkalmasak lesznek talán a használatára, bár már a WPA2-re is
rengetegen panaszkodnak a sávszélesség csökkenése miatt. Vagyis ha így
megy tovább, akkor a 11Mbites hálózati eszközök egészen biztosan
alkalmatlanná válnak a titkosított forgalom megfelelő sebességű
lebonyolításához.
Régi AP-t csak akkor kezdjünk használni, ha virtuális magánhálózatot
(VPN) működtetünk. Ilyenkor az AP pusztán az adóvevő szerepét
tölti be
a vezetékes (LAN) és a vezeték nélküli hálózat (WLAN) között. Az AP-t
egy külön erre a célra használt szerver felé kell routolni,
amelyen
valamilyen VPN kiszolgáló fut. A Wifi ilyenkor nyitott, de a
számítógépes
hálózatra csak megfelelő beazonosítás után lehet föllépni a VPN-en
keresztül. Az AP minden gépet beenged, az azonosítás pedig az utána
lévő
kiszolgálón történik, s miután ez megtörtént, csak akkor kap jogot a
gép a hálózati műveletekhez. Ebben az esetben tehát nagyon lényeges,
hogy a gép és a szerver, így a belső hálózat közötti kapcsolat RSA-val
titkosított formában történik, tehát az AP-nek nincs szerepe a
védelemben. Ezeket az AP-ket inkább csak komolyabb hálózatok WLAN
kiterjesztéseként használják, magán célra nem, az említett megoldás
költségigénye miatt. (Egy folyton működő számítógép kell hozzá plusz
speciális szoftver.)
Egy
használható AP ára újonnan talán elriaszthatja azt aki így akarja
fejleszteni az otthoni hálózatát, de már használtan is lehet kapni
ilyeneket és jóval olcsóbban! Egy beépített AP-vel rendelkező WLAN
router megvétele viszont sokkal költséghatékonyabb
megoldás. A manapság már széles körben elterjedt
WLAN routerek VPN kiszolgáló nélkül is elfogadható szintű biztonságot
képesek nyújtani, (már a már taglalt WPA 2 mellett természetesen)
feltéve, hogy rendesen be is állítják őket. Ehhez
először
is csatlakozzunk föl a routerünkre hagyományos hálókártyán keresztül
(direktben) egy UTP kábellel. Ez azért is szükséges, mert a dobozból
kivéve a router vezeték nélküli része még nem üzemel, a szükséges
konfigurálást csak közvetlen hálózati kapcsolattal hozhatjuk létre. A
modern routerek http-n, azaz a böngészőn keresztül vezérelhetőek, és
könnyen belőhetőek, bár nem árt, ha rendelkezünk némi angol
nyelvtudással.
Beállítások lépésről lépésre
A beállításhoz egy számítógépre van szükség hagyományos hálózati
kártyával, amit összekötünk a routerrel, mert WLAN kapcsolaton
keresztül nem lehet beállítani az eszközt. Kapcsoljuk be először a
routert, majd a számítógépet. A DSL Bridge/Kábel modem ne legyen
csatlakoztatva vagy bekapcsolva, amíg legalább a tűzfalat nem
aktiváltuk a routeren (ennek alapbeállításnak kéne lennie, de sajnos ez
nem mindegyik routeren van így), vagy olyan számítógéppel csatlakozzunk
a beállítás idejére, mely saját tűzfallal rendelkezik.
Első alkalommal még ha lehetőségünk is van rá (mondjuk mert használt eszközről van szó) ne WIFI-n,
hanem vezetékes hálózaton keresztül jelentkezzünk be a routerbe és úgy
ejtsük meg a beállításokat!
Mindenekelőtt azonban keressük meg a leírásban a routerünk belső saját IP címét.
Ez
lehet 192.168.0.1 (DLink) ,
192.168.1.1 (Linksys/TP-Link),
192.168.2.1 (SMC),
Akad olyan is, amelyiknél
paraméterezhető. Sőt a Netgear routerek esetében egyszerűen csak a
"routerlogin.net" címet kell beírni a böngészőbe.
Ha tehát megvan a cím, pötyögjük be a böngészőnk címsorába. Ha nincs kapcsolat,
akkor vagy a számítógépünk nincs beállítva DHCP fogadására, és így nem
kap IP címet a routertől, vagy a számítógép hálókártya drivere nincs (rendesen)
fölinstallálva a gépre, vagy egészen egyszerűen csak döglött a kártya,
vagy hibás az UTP kábel ami a gép és a router között van. Ha nincs ilyen gond és megvan a
kapcsolat, akkor írjuk be azt a gyárilag beállított felhasználónevet és/vagy jelszót, ami a
leírásban szerepel.
Sokan
szívtak már azzal, hogy a D-Link routerek leírásában "Admin" szerepel
felhasználónévként, mikor pedig "admin" a felhasználó. Kis kezdőbetűvel.
A routerek gyári állapotban, vagy hidegindítás (reset) után nem kérnek
jelszót, vagy egyszerű gyári jelszavuk van, amit mindenki ismer, azaz
azt nekünk kell beállítanunk, ha a routert nem akarjuk mindenkinek
kiszolgáltatni.
Gyári állapotban meglévő név/jelszó párosok ismertebb WLAN router típusoknál:
D-Link: admin/-
Linksys: -/admin
SMC: admin v. smcadmin/-
Netgear: admin/password
TP-Link: admin/admin
Bent vagyunk!
A
kereskedelemben kapható routerek többnyire elavult firmware-ekkel
kerülnek forgalomba, ami miatt gyakran akadnak működésbeli problémák,
rendellenességek. (Belassulás, fagyás, stb). Ezért még mielőtt
nekikezdenénk a beállítások sorának, töltsük le a gyártó oldaláról a
legfrissebb elérhető firmware-t, és frissítsük a routerünket! Ezt a
router beállító menüjének egyik oldalán tehetjük meg. A frissebb
firmware nem csak működési, de ismert biztonsági problémákat is
orvosolhat. Bölcsebb dolog a frissítést előre megtenni, mert
előfordulhat, hogy a frissítés során a beállítások az alapértékekre
állnak vissza, sőt néha a régebbi konfigurációs mentést (lásd később)
sem engedi visszatölteni, azaz ilyen esetben kezdhetjük elölről a
beállítási macerát.
Figyelem! Firmware-t csak abban az esetben frissítsünk, ha a folyamatos
áramellátás biztosított, mint a számítógép, mind a router esetében. Ha
lehet, használjunk szünetmentes áramforrást! Egy a frissítés
közben érkező esetleges áramkimaradás ugyanis helyrehozhatatlanul
gallyra teheti a routerünket. Legalább arra figyeljünk, hogy ne olyan
időszakban (pl. amikor odakint vihar tombol) végezzük ezt a kényes
műveletet, amikor majdnem biztosak az áramkimaradások.
Ha készen vagyunk a frissítéssel, a legelső dolgunk még mindenek
előtt az legyen, hogy változtassuk meg a gyári jelszót, nehogy később
elfelejtsük! Nagyon sokan elkövetik azt a hibát, hogy változatlanul
hagyják a gyári jelszót, ezzel szabad utat nyitva mindenkinek aki a WAN-ról
(tehát az internetről) érkezik. A gyári jelszó gyártónként eltérő, de
mindegyik típusnál azonos, vagyis ennek ismeretében bárki bele tud
túrni a routerünkbe, és átveheti az irányítást a router, majd a gépeink fölött. Új
jelszavunk lehetőleg minél bonyolultabb legyen, de ne felejtsük el ha
lehet, különben kezdhetünk mindent elölről, ha valamit állítani kell utólag a routerben.
Kapcsoljuk ki a Universal Plug and Play (UPnP) szolgáltatást a
routerben. Ez a hanyag módon kialakított szabvány mindig is
hordozott magában veszélyeket, ma már azonban
hatalmas
hiba bekapcsolva hagyni, ugyanis a UPnP ezen keresztül az
internetről azt csinálnak a routerünk beállításaival amit akarnak.
Ezen az úton nyitogatnak maguknak portokat a trójaiak. Ezek a Flash XSS-t (cross site scripting) használják a
behatoláshoz, azaz ha letiltjuk
a Flash animációkat, vagy szelektíven engedélyezzük őket pl. a
NoScript
nevű progival, akkor védekezhetünk is az ilyen fajta támadások ellen,
de ezzel megnehezítjük a saját böngészésünket is, és hát nem hiszem,
hogy ez bárki is akarná.
Sajnos a UPnP hiba az
összes gyártó összes routerét érinti, tekintve, hogy a UPnP saját
hibájáról van szó. Ha lehetséges, a későbbi firmware verziókban a
gyártók minden bizonnyal majd javítani fogják, de ez nem lesz olyan
egyszerű.
Ha
már egy ideje használjuk a routert, és eddig a UPnP-t netán bekapcsolva
hagytuk, akkor bizony előfordulhat, hogy fertőzöttek vagyunk, vagy
legalábbis már valaki meghackelte a routerünk beállításait. A UPnP
dolga normális esetben a megfelelő
portok nyitogatása az alkalmazások számára, de azt, hogy
mi van nyitva nem mutatja meg, ezért a biztonság kedvéért tedd
a következőt: szedd le a routerről a WAN kábelt, (azt az
UTP kábelt, ami a modem/bridge felé megy) a
router menüjében kapcsold ki a UPnP szolgáltatást, majd kapcsold ki és
be a routert. Újraindítás után nézd meg, hogy csak azok a portok
legyenek nyitva, amiket te állítottál be. ("rules and services" fül)
Ha valami más is nyitva van, akkor csináljunk egy hidegindítást (reset
gombocska a routeren) és kezdjük a beállításokat elölről, nem
elfelejtve, hogy kártevőmentesítsünk a routeren addig használt összes
számítógépet!
Az, hogy a UPnP-t nem szabad használni, mindössze annyi kényelmetlenséget jelent, hogy azoknak,
akik P2P hálózatokat használnak, vagy torrenteznek, saját maguknak
kell majd beállítani a port forwardingot. Ez pedig nem nagy ár a biztonságért.
Kapcsoljuk ki az SSID broadcast-et!
Az SSID a router azonosítója. Az értékét mi állítjuk be, ami bármi
lehet. A routerek alapbeállítása, hogy az SSID-t folyamatosan
sugározza magáról, (ezt nevezik SSID broadcast-nek) így mindenki láthatja a
környéken, hogy van a közelben egy ilyen és ilyen nevű router. Erre azonban abszolút semmi szükség egy otthoni
hálózat esetében, viszont feleslegesen felhívja magára a figyelmet.
Ha tehát nem nyilvános célra üzemeljük be a routert, akkor
kapcsoljuk ki az SSID broadcast-et!
Kapcsoljuk be a MAC címszűrést!
Ehhez szükségünk van a megvásárolt WLAN
kártyáink MAC címeire. A MAC fizikai cím, mely csak az adott darabra
jellemző. Ez egy 12 karakterből álló, kötőjelekkel elválasztott
hexadecimális kódsor, ami egy matricán szokott lenni a kártyákon. Némely
gyártó ezt a matricát nem ragasztja fel az eszközre, hanem a dobozában
helyezi el egy kis nylon tasakban. Ha ezt kidobtuk volna, vagy
elveszett, akkor sem kell pánikba esni. A MAC cím bármelyik
hálókártyánál hozzáférhető a parancssorból a következő utasítással: <ipconfig
/all>. A routeren használni kívánt gépen WLAN adaptereinek összegyűjtött MAC címeit sorban írjuk be a MAC címszűrő
részbe a routerben, és kapcsoljuk be a címszűrést!
Innentől kezdve csak az tud csatlakozni, aki a mi kártyáinkat
birtokolja. (Vagy tudja a kártyánk MAC címét, amire azért kicsi az
esély. Elvileg az adatfolyamból kihalászható, de csak akkor, ha valaki
gyenge titkosítást használ.)
A
WEP a leggyengébb titkosítás ami létezik. Tudni kell róla, hogy csak
egy ideiglenes megoldás volt a WPA megjelenése előtt.
Olyan is. A WEP használatát messziről kerüljük, különösen nagyobb
adatforgalom mellett, mert gyakorlatilag bárki által könnyen
feltörhető. Ha valami nagyon régi, a WPA-t nem támogató, csak WEP-re
felkészített hálózati eszközzel rendelkezünk, azt minél hamarabb
cseréljük le!
A jelenleg forgalmazott WLAN kártyák mindegyike támogatja a WPA-t,
és a WPA2-t is.
A Windows XP SP2-es gépeken, ha a WLAN adapter
drivere is támogatja (frissítés után általában menni szokott)
inkább használjunk WPA2-t, mert jelen pillanatban az a legbiztonságosabb. Értve ez alatt, hogy a sima WPA-t sikerült már feltörni a szakértőknek,
amire hamar reagált a feketepiac. Kínában pl. már komplett a WPA-s védelmet feltörni képes készleteket
is árulnak. Mint azt már az előző részben említettem, a WPA2-t is feltörték, bár készleteket még nem árulnak hozzá. :)
A lényeg, hogy ha Wifit használunk, az nem jelent 100%-os védelmet.
Alapszabály azonban, hogy mindig az elérhető
legerősebb titkosítást
használjuk a routerünkkel történő kommunikációhoz. Ehhez persze
elengedhetetlen, hogy az adott titkosítási módszert ne csak a router,
de a számítógépünk WLAN adaptere is ismerje.
Régebben ajánlottam a WPA-PSK-t - már amíg fel nem törték. Ez még támogatta ugyanis
a Windows Wireless Zero Configuration-t, (WZC) ami lehetővé teszi a
csatlakozást külön szoftver installálása nélkül. Amióta azonban a UPnP probléma élesen felmerült, elfelejthetjük,
ugyanis a WZC nem működik UPnP nélkül. A WPA sebezhetőségének
kiderülése miatt viszont eleve elfelejthetjük a WPA-t és figyelnünk kell arra, hogy használtan se vásároljunk már
olyan WLAN adaptert, ami nem képes WPA2/AES-sel titkosítani.
A WLAN kártyák szoftveres beállító menüjében is lőjük be a már a
routeren kiválasztott titkosítást,
utána
indítsuk el a rendszert először DHCP-vel. Ha minden működik, akkor a már említett <ipconfig /all>
paranccsal kérdezzük le a gépre vonatkozó IP konfigurációt, (IP cím,
alapátjáró, stb) és jegyezzük föl a címeket, majd állítsuk be a gépeket
a megtalált IP címekre fixen, és a művelet végén kapcsoljuk ki a DHCP
szervert. Ha olyan gépet is akarunk használni, (pl. notebook) aminek
nem szerencsés, ha fix IP-re van állítva (mert hogy gyakran máshol is
használjuk), akkor a DHCP szervert
bekapcsolva hagyhatjuk a routeren, de ha nem muszáj így lennie, akkor
inkább kapcsoljuk ki, ezzel még egy fokkal megnehezítve, pontosabban
lehetetlenné téve azok dolgát,
akik be akarnak törni a rendszerünkbe. Mert ha még fel is törik a
WIFI-nk hozzáférési kódját, akkor sem kap a gépük IP címet, azaz nem
érnek el vele semmit sem.
A
routerek tűzfalát mindenképpen érdemes kihasználni. Hatékony, és
praktikus védelmet jelentenek, mert bár a kifelé menő (pl. a spyware-ek
által küldözgetett) forgalmat nem figyelik, a külső
támadásokkal sikeresen veszik fel a harcot. Egy esetleg
előforduló kártevő sem képes úgy kilőni, mint a számítógépeken üzemelő
tűzfalakat. Persze mivel ezek egyszerű passzív SPI (statful
pocket inspection) rendszerű védelmet alkalmaznak, önmagukban nem
nyújtanak elegendő védelmet egy aktív internet használónak.
Ha van
olyan opció a routeren, hogy "Discard ping to WAN" akkor azt kapcsoljuk
be. Ez pingelhetetlenné teszi a routert az internet felől, azaz ha valakinek
hackelgetni támad kedve, még véletlenül sem fog minket megtalálni.
Kívülről ilyenkor gyakorlatilag úgy viselkedik, mintha nem is
létezne.
Állítsuk be a PPPOE paramétereket, azaz a szolgáltatóhoz való
belépési adatokat.
Az elsődleges és másodlagos DNS beállításokkal ne bajlódjunk, ezt a
szolgáltató megküldi a routernek. Állíthatjuk fixre is, de akkor gyakoriak lehetnek a lassulások.
Ha azt akarjuk, hogy bárki láthassa a hálózatunkat, (pl. WarDriving
hely létrehozása esetén), akkor kapcsoljuk be az SSID
broadcast-et, és adjunk neki valami jellemző nevet. Kapcsoljuk ki a MAC
címszűrést, a WEP-et, a WPA-t, és kapcsoljuk be a DHCP-t, hogy mindenki
kaphasson IP címet. Persze ebben az esetben a saját gépeinken nem árt,
ha külön védelem van, de ebbe most nem megyek bele, mert aki ilyenbe
fog, az úgyis tudja, hogy mit csinál.
Amennyiben csak virtuális magánhálózatra (VPN) csatlakozunk, és
rendelkezünk a szükséges tanúsítványokkal, és titkosító
szoftverekkel, ne bajlódjunk a WEP/WPA beállításával, tekintve, hogy a VPN többszörösen felülmúlja a WPA
vagy a WPA2
biztonságát. VPN használata esetében elég ha kikapcsoljuk az SSID
broadcastet, bekapcsoljuk a MAC címszűrést és megváltoztatjuk a
router jelszavát.
Minden routeren megvan rá lehetőség, hogy a készre belőtt router
beállításait
elmentsük. Ha ezt megtesszük, akkor később, ha valamiért
hidegindítást kell végezni rajta, nem kell elölről szöszmötölni,
elég, ha feltöltjük rá a mentést.
WLAN routerem van, de nem mindenhol elég a térerő a házban,
vagy / és akadozik az adatátvitel
Mivel a routerek kimenő teljesítménye minimális, valamint
a Wifi eszközök érzékenysége sem éppen mondható optimálisnak, sokan
panaszkodnak arra, hogy pár szobával odébb, vagy egy másik emeleten,
már nincs elég jelszint az optimális sebességhez.
Ilyenkor sokan nagyobb nyereségű antennákat vásárolnak. Egy márkás, jó
minőségű antenna viszont egyrész nem olcsó, az olcsó pedig nem biztos,
hogy hozza produkálja azt ami rá van írva, nem csak nyereség, de SWR
tekintetében sem. De hagyjuk a fenébe az antennákat!
1, Igen ritka, hogy a router a ludas a rossz összeköttetésben. Túlnyomó
többségben a notebookokba, és más Wifi-s eszközökbe épített Wifi
antenna érzéketlensége, valamint mini PCI-os Wifi kártyák néha
bosszantóan gyenge minősége, vagy inkompatibilis drivere okozza a
gondokat. Mielőtt beruházunk bármire, szerezzünk kölcsönbe PCMCIA-os,
vagy USB-s Wifi adaptert és a beépített helyett azzal is vizsgáljuk meg
vele a hálózatunkat!
2, A WLAN eszközök érzékenyek az interferenciára. A routert/AP-t ne a
számítógépek közvetlen közelében, és pláne ne az ADSL Bridge (modem)
vagy kábelmodem tetejére helyezzük el! Ezzek sok vesződségtől
mentjük meg magunkat.
3, Ha még mindig nem az igazi a hálózat, és valaki vesz egy másik
antennát a routerére, jobb, ha tudja, hogy ha az antennát ugyanoda
teszi, ahol eddig is működött a router, előre borítékolható, hogy
semmilyen változást nem fog észlelni egy a gyárinál nagyobb nyereségű
antennával sem.
4, Ha kábelt teszünk a nagyobb nyereségű antenna és a router közé,
akkor azon annyi csillapítás jelentkezik, hogy amit nyernénk az
antennán, azt már előre elveszítjük a kábelen.
Ha tehát mindenképpen szükség van a hálózat bővítésére, akkor semmiképp
se antennát vegyünk, hanem egy különálló AP-t és egy megfelelő
hosszúságú UTP patchkábelt.
A lényeg, hogy egy nagy nyereségű antenna árából simán kitelik egy
használt AP, (sőt olcsóbban kijövünk) amivel viszont valóban megoldható
a problémánk. Egy UTP kábelen messzire elvezethetjük a hálózatot az AP
számára, és a routerben lévő AP is maradhat ahol van.
Nibiru
Frissítve: 2011.03.22
|
|
