מדריך: אבטחו את הרשת האלחוטית

ברירת המחדל - הרשתות פתוחות לכולם

כל הנתבים האלחוטיים בשוק תומכים במספר רב של סוגי הצפנה ומנגנוני אבטחה אחרים. יחד עם זאת, הגדרות ברירת המחדל של מרבית הנתבים הן של רמת האבטחה הנמוכה ביותר, אולי מפני שיצרניות הנתבים רוצות להימנע משיחות בלתי פוסקות לתמיכה הטכנית על ידי לקוחות שלא מצליחים להתחבר.

כאשר רוכשים נתב היום, כל מה שצריך לעשות הוא לחבר את הנתב למודם ולחשמל, להכניס את שם המשתמש ואת הסיסמה של ספק האינטרנט והכול עובד. דבר זה אמנם מאד נוח אך, גם מאד בעייתי בכל מה שקשור לאבטחה. רשת בסיסית כזאת היא חלומו של כל פורץ שיעדיף אותה על חיבור קווי - בו קל יותר לאתר אותו.

רשתות אלחוטיות הן פגיעות, גם כאשר הן מוצפנות, מכיוון שפשוט לא קיימת הצפנה שלא ניתן לפענח. כך, כל אחד עם כרטיס רשת אלחוטי, יכול "להאזין" לתעבורת המידע ולאסוף מספיק מידע מוצפן בכדי שיוכל לפענח את ההצפנה.

הסכנות: גישה למחשב והתחזות 

חשוב לדעת: משמעות שימוש בנתב ללא כל הפעלה של אפשרויות האבטחה הגלומות בו, היא שכל אדם בסביבה הקרובה יכול לגשת למחשבים ברשת ללא מאמץ.

האפשרות שמישהו בסביבה יגלוש על חשבונכם, היא רק הנזק המשני. הבעיה מבחינת האבטחה היא עקיפה של הנתב ושל חומת האש. מצב כזה זהה למצב בו מישהו חיבר כבל תקשורת למחשב שלכם, כך שכל המחשב שלכם, לרבות מערכת ההפעלה, פתוח בפניו.

כשאתם מבצעים פעולה כלשהי באינטרנט, אתם תמיד משאירים עקבות. אם זה במחשב או השרת אליו התחברתם, אצל ספק האינטרנט או במחשבכם האישי.

הפעולות והתקשורות מתועדות במערכת זאת או אחרת. פורץ עלול לנצל זאת לצרכיו, להתחבר לרשת האלחוטית שלכם, ולבצע פירצה בשמכם. אם הרשויות יחפשו אותו, הן עלולות להגיע גם אליכם. ואז, לכו תוכיחו שאין לכם אחות – ומכך עדיף להימנע.

כך מתגוננים 

אי אפשר להפוך מערכת או רשת כלשהי לאטומה לחלוטין, מכיוון שדבר זה אינו אפשרי. מטרתנו היא להעלות את רמת האבטחה לרמה מספקת, כדי שלא נשמש יעד להתקפה.

ניתן לשנות את כל ההגדרות של הנתב דרך ממשק הניהול שלו מהדפדפן. ודאו כי הנתב פועל ומחובר למחשב וחפשו את כתובת הגישה בחוברת ההוראות של הנתב. לרוב הכתובת תתחיל ב-192.168. יש להקליד את הכתובת הזו בחלון הכתובת של הדפדפן וללחוץ על Enter.

הערה חשובה: ההסברים במדריך זה אינם מוגשים במתכונת של שלבים בצירוף צילומי מסך מאחר וההוראות משתנות בהתאם לסוג הנתב. אם אינכם מבינים כיצד ליישם את ההנחיות שהצגנו כאן היעזרו באיש מקצוע. הנקודה החשובה מבחינתכם היא שתהיו מודעים לסכנות ותפעלו לשיפור המצב.

לא לפרסם את שם הרשת

לכל רשת אלחוטית יש שם המכונה SSID - Service Set Identifier . מנגנון ההגנה הבסיסי ביותר, הוא ההגדרה אם לפרסם או לא לפרסם את קיומה של הרשת ואת שמה. כברירת מחדל הנתבים מפרסמים את שם הרשת באוויר ובכך מאפשרים לכל אדם, גם אם אינו האקר ואין ברשותו כלי פריצה מיוחדים, לראות את הרשת ולהתחבר אליה בקלות. חפשו את האפשרות Broadcast SSID בהגדרות הנתב שלכם.

ביטול פרסום שם הרשת עוזר בכך שהוא דורש מהפורץ הפוטנציאלי לדעת את שם הרשת לפני שהוא מתחבר. לאחר החיבור הראשוני לא יהיה על המשתמש להקיש את שם הרשת שוב מכיוון ששמה נשמר במחשב.

הרשת של השכן

אמנם, ישנם כלים לזיהוי רשתות שלא מפרסמות את שמן, אך שימוש באופציה זאת לא כרוך בטרחה רבה ובהחלט מעלה את רמת האבטחה. האקר יעדיף לפרוץ לרשת האלחוטית של השכן במקום לשלכם, כי שם הרשת של השכן מפורסמת באוויר ושלכם - לא.

להגדיר לאילו כרטיסי רשת הכניסה מותרת

הגנה בסיסית נוספת היא הגדרת כתובות ה-MAC של כרטיסי הרשת המורשים להתחבר לנתב. כתובת MAC (באנגלית MAC Address, Media Access Control Address) היא כתובת ייחודית שיש לכל כרטיס רשת בעולם. לא קיימים שני כרטיסי רשת בכל כדור הארץ עם כתובת MAC זהה (לפחות לא אמורים להיות כאלה), הכתובת נצרבת בכרטיס על ידי היצרן.

בנתבים אלחוטיים ישנה אפשרות להגדיר שרק כרטיסי רשת בעלי כתובות MAC מסויימות, מורשים להתחבר לנתב. ברוב הנתבים ניתן לראות את כתובות ה-MAC של המחשבים הנמצאים בסביבה באזור ולבחור אותן, זאת על מנת לחסוך למשתמש את הטרחה הכרוכה בבדיקה ידנית של כתובות ה-MAC בכל המחשבים נפרד והקלדתן בממשק ניהול הנתב.

מכיוון שברוב המקרים הרשת מיועדת לשימוש במחשבים קבועים, בעלי כתובות MAC קבועות, שווה להקדיש את שתי הדקות הנחוצות עבור הגדרה של אמצעי הגנה זה.

היזהרו מהאזנות

גם כאן, מדובר במנגנון הגנה פשוט יחסית לפריצה. כאשר מחשב כלשהו מתחבר לנתב, הנתב מבקש ממנו את כתובת ה- MAC על מנת לבדוק אם היא מופיעה ברשימה המוגדרת לו. המחשב משדר את הכתובת באוויר כך שהאקר יכול "להאזין" ולגלות איזו כתובת MAC רשאית להתחבר לנתב.

לאחר שקיבל נתון זה הוא יכול בקלות להחליף את כתובת ה-MAC של כרטיס הרשת שלו בכתובת שגילה ולהתחבר לנתב. אך עדיין, אם לשכן לא יהיה את מנגנון ההגנה הזה, הוא יהיה היעד המועדף לפריצה.

מנגנון ההגנה המסובך יותר אך החשוב מכל הוא ההצפנה. כל הנתבים המוצעים למכירה כיום תומכים במספר סוגי הצפנה. אמנם אין הצפנה שלא ניתנת לפענוח, אך בשורה התחתונה שימוש בהצפנה כלשהיא יהפוך את הרשת האלחוטית שלכם ליעד פחות פופולרי, ואף יסנן האקרים "לא יוצלחים.

ההצפנות השכיחות ביותר ברשתות אלחוטיות הן WEP ו-WPA:

• WEP - Wired Equivalent Privacy הוא פרוטוקול הצפנה הפועל על בסיס מפתח הצפנה בגודל 64, 128 אוbit 256. אמנם כל הצפנה עדיפה על אי הצפנה אך ברוב המקרים ניתן לפרוץ פרוטוקול זה (כלומר לפענח את מפתח ההצפנה) תוך מספר דקות. מסיבה זו כדאי ורצוי להשתמש בפרוטוקול הצפנה אחר.
  

• WPA - Wi-Fi Protected Access הוא פרוטוקול הצפנה שנוצר על מנת להחליף את WEP בשל חולשתו. יתרונו העיקרי על פני WEP הוא ששימוש במפתחות דינאמיים – מפתח ההצפנה משתנה.
  

בחרו בהצפנה ארוכה

כל הנתבים האלחוטיים המיוצרים היום תומכים בפרוטוקול WPA2 (שהוא גירסה משופרת של WPA) והוא הפרוטוקול המומלץ להצפנת רשתות אלחוטיות ביתיות מכיוון שבתצורתו הבסיסית ניתן להגדיר אותו בקלות ללא רכיבים נוספים (כגון שרת אימות) והוא מספק רמת אבטחה סבירה.

בבואכם להגדיר הצפנת WPA בנתב אלחוטי תתבקש להקיש את מפתח ההצפנה ולבחור את סוגו. הסוגים הקיימים הם ASCII (אותיות וסימנים) ו- Hexadecimal (ספרות הקסדצימליות - 0-9 ו-A-F).

מפתח ASCII יכול להכיל בין שמונה ל- 63 תווים. מפתח Hexadecimal מכיל 64 ספרות הקסדצימליות. לאורך מפתח ההצפנה השפעה ישירה על איכות ההצפנה (הקושי לפענח אותה). מסיבה זו מומלץ להשתמש במפתח הצפנה בעל אורך מקסימלי.

כל התקשורת היוצאת מכרטיס הרשת האלחוטי של המחשב ומהנתבים מוצפנת באמצעות מפתח כך שתהיה חסרת משמעות למי שיאזין לתקשורת. הנתב האלחוטי וכרטיס הרשת בצד השני מחזיקים באותו מפתח הצפנה ומשתמשים בו על מנת לפענח את המידע.

לחצו כאן לכל מדריכי האינטרנט שלנו