Kdo chytá ve vaší síti?
Nejen soused se může připojit k vašem routeru. Chip vám ukáže, jak zabezpečit síť tak, aby se do ní nedostal ŽÁDNÝ HACKER a aby fungovala plnou rychlostí.
FABIAN VON KEUDELL
Pouhých 50 sekund potřebuje hacker k tomu, aby se dostal přes zabezpečení Wi-Fi, které používá nejmodernější systém šifrování. Podle průzkumu společnosti Ernst & Young bylo vloni jen v Praze přes 3 000 přístupových bodů WiFi a z toho 27 %, tedy téměř třetina, bylo nezabezpečených, tedy bez jakéhokoliv šifrování. Navíc přes 1 300 sítí bylo zabezpečeno jen šifrováním WEP, k jehož „rozlousknutí“ není třeba hackerských dovedností. Existují programy, které heslo odhalí jedním kliknutím. Dvě třetiny sítí tedy nemá dostatečnou ochranu. O zbytku republiky studie nehovoří, ale neděláme si naději, že je to jinde lepší. A jaká je příčina toho, že jsou Wi-Fi sítě nezabezpečené? Zřejmě to bude složitou konfigurací routerů a možná také nekompatibilitou klientů při složitějším šifrování. Naštěstí Chip vám pomůže se všemi problémy.
Konfigurace není tak složitá, jak se na první pohled zdá, pro dokonalé zabezpečení je však třeba provést několik dalších kroků. Bez těch by se totiž hacker do vaší sítě přece jen vlámal. Veškerou konfiguraci si ukážeme na Wi-Fi routeru značky D-Link. V anketě, která probíhala v prosinci na webu www.chip.cz, jste totiž nejvíce odpovídali, že používáte právě tuto značku routeru.
KROK 1
Zabezpečení routeru
SPRÁVNÉ NASTAVENÍ
Aby byla celá síť v bezpečí, je třeba nejprve zabezpečit samotný router. Pokud by se totiž hacker dostal právě do routeru, byla by veškerá další opatření zcela zbytečná. Pro zabezpečení se nejprve připojte k routeru pomocí kabelu.
Na počítači musíte mít zapnuté automatické přidělování IP adresy, aby vás router připojil do své sítě. Pokud si nejste jisti, zda máte aktivováno automatické přidělování IP adresy, otevřete v systému »Síťová připojení«, klikněte pravým tlačítkem na »Připojení k místní síti«, zvolte »Vlastnosti«, v okně vyberte »Protokol sítě Internet (TCP/IP)« a klikněte na »Vlastnosti«. V nově otevřeném okně vyberte »Získat adresu IP ze serveru DHCP automaticky« a volbu potvrďte kliknutím na »OK«.
Nyní spusťte internetový prohlížeč a do řádku Adresa zadejte »http://192.168.1.1«. To je výchozí adresa routerů značky D-Link. Zobrazí se okno s přihlášením do routeru. Do řádku »User Name« zadejte »admin« a do řádku »Password« také »admin«. Tyto hodnoty opět platí jen pro D-Link, třeba ZyXEL používá jako defaultní heslo »1234«. Kliknutím na »Log In« se přihlásíte.
ZMĚNA HESLA: Po přihlášení ze všeho nejdříve klikněte na »Maintenance« a na podmenu »Password«. V této části změníte výchozí heslo. Do řádku »Current Password« vepište současné heslo, tedy »admin«, a do řádků »New Password« a »Confirm« vepište své nové heslo. Doporučujeme zvolit délku aspoň osm znaků. Kliknutím na »Apply Settings« nové heslo uložíte. Po změně se router sám restartuje, nebo klikněte na »Reboot«, přibližně minutu počkejte. Pak se opět přihlaste.
BEZPEČNÁ WI-FI: Nyní je třeba správně zabezpečit Wi-Fi. V části »Setup« klikněte na »Wireless Setup«. Zobrazí se okno, jako vidíte na obrázku. Podrobně si projdeme jednotlivá nastavení.
Enable Wireless - je-li zatrženo, Wi-Fi síť je zapnuta. Pokud byste ji chtěli vypnout, stačí položku odškrtnout.
Wireless Network Name (SSID) - zde volíte název své sítě. Rozhodně neponechávejte výchozí názvy sítě, jako je třeba dlink. Zvolte název třeba »mojesit« nebo podle svého jména.
Enable Auto Channel Scan - tato volba je dostupná jen u inteligentnějších routerů, které sledují okolní sítě a nastavují kanál tak, aby docházelo k co nejmenšímu rušení. Pokud tuto funkci váš router nemá, zkuste se domluvit se sousedy na kanálech - aby vaše sítě neběžely na stejných kanálech, čímž by se ještě více rušily. I levnější routery nabízejí volbu aspoň mezi šesti kanály.
802.11 Mode - v této části nastavujete, které standardy Wi-Fi se budou používat. K dispozici jsou, podle typu routeru, standardy a, b, g, n. Čím více jich váš router umí, tím samozřejmě lépe. Proto zvolte volbu »Mixed« a vyberte jich co nejvíce.
Transmission Rate - zde můžete omezit rychlost Wi-Fi. Máte-li k tomu nějaké důvody, můžete snížit maximální rychlost, kterou bude Wi-Fi komunikovat. My doporučujeme zvolit »Best (automatic)«. Rozhodně nezadávejte ručně vysokou rychlost, často je totiž třeba kvůli rušení či většímu dosahu rychlost snížit.
Hide Wireless Network - tato položka skryje Wi-Fi síť. My doporučujeme její aktivaci. Když bude síť schovaná, běžný uživatel ji neuvidí. Abyste zařízení připojili, bude nutné ručně vyplnit SSID, tedy název sítě. Když méně zkušený hacker žádnou síť neuvidí, nebude se chtít do ní ani dostat. Security Mode - důležitá část, ve které se nastavuje typ šifrování. O volbě »None«, tedy žádném šifrování, ani neuvažujte. Stejně tak je zbytečné zadávat »WEP«. Tuto ochranu lze běžným softwarem prolomit za pár sekund a stačí k tomu jedno kliknutí. Zvolte proto »WPA-Personal«.
WPA Mode - tady nastavíte, jaký druh šifrování WPA zvolíte. Pokud máte moderní zařízení, která podporují WPA2, zvolte položku »WPA2 Only«. To je nejbezpečnější způsob šifrování. Máte-li však zařízení, která si s WPA2 neporadí, například starší notebook nebo PDA, vyberte položku »WPA-PSK/WPA-PSK2 AUTO«. V tomto modu bude router dávat přednost WPA2, pokud jej ale zařízení nebude podporovat, přepne na obyčejné WPA.
Pre-Shared Key - do tohoto řádku zadáte své heslo, které budete potřebovat k připojení k Wi-Fi. Jedná se vlastně o frázi, ze které si zařízení vygenerují šifrovací klíče. Vámi zadané heslo by mělo mít aspoň patnáct znaků, aby odolalo útokům hackera i hrubou silou.
Nyní je Wi-Fi část dostatečně zabezpečená, proto klikněte na »Apply Settings« a uložte změny.
FILTROVÁNÍ MAC ADRES: Jak jsme psali na začátku článku, zkušený hacker s pořádným vybavením se dostane do každé zabezpečené sítě. Jak se tedy opravdu účinně bránit? Bude třeba zapnout filtrování MAC adres. Pak se hacker k routeru vůbec nepřipojí. MAC adresa je totiž unikátní číslo každého síťového zařízení a na světě by neměla existovat dvě síťová rozhraní se stejnou MAC adresou. Pokud povolíte, aby se k routeru připojovala jen zařízení, jejichž MAC adresu jste předem zadali, máte vyhráno. Hacker se ze svého počítače nebude moci do sítě přihlásit.
Pro nastavení zvolte »Advanced« a »Wireless Filter«. V řádku »Wireless Filter Policy« nejprve zvolte »Allow All« - budeme totiž přidávat zařízení, která budou mít přístup k Wi-Fi. Změnu potvrďte kliknutím na »Change Policy«. Do části Wireless Filter budete zadávat jednotlivá zařízení a jejich MAC adresy. Do řádku »Filtr Name« zadejte vždy název zařízení a do »Wireless MAC Adress« zadejte adresu daného zařízení. Kde ji zjistíte?
MAC adresa bývá napsána na zařízení. Pokud tedy máte notebook, stačí jej otočit - ve spodní části bude MAC adresa napsaná. Ve Windows stačí spustit příkazový řádek a zadat
ipconfig/all
Ve výpisu najdete MAC adresu na řádce »Fyzická Adresa«. Pozor si dejte, pokud máte více síťových rozhraní - MAC adresa musí být z bezdrátové síťové karty! Na mobilech nebo PDA najdete MAC adresu ve většině případů pod baterií, případně ji můžete zjistit softwarově v části starající se o síťová zařízení.
Do D-Linku se MAC adresa zadává oddělená dvojtečkou po dvou znacích. Pokud ji zadáte oddělenou pomlčkou nebo zcela dohromady, router ji neakceptuje.
KROK 2
Nastavení klienta
BEZPEČNĚ S UPDATEM
Nemůže se váš notebook připojit k Wi-Fi nebo je síť příliš pomalá? Všechno se dá vyřešit. Často pomůže jen nový ovladač, který získá z bezdrátové karty vyšší výkon a někdy nabídne i nové funkce.
NOVÝ OVLADAČ: Na Chip DVD jsme pro vás nachystali nejnovější verze ovladačů bezdrátových síťových karet, které se v noteboocích objevují nejčastěji. Pokud máte notebook vybavený logem Centrino, velmi pravděpodobně najdete na Chip DVD ovladač i pro svoji kartu. Které ovladače jsme přichystali? Jsou tu ovladače pro karty Intel Pro Wireless 2100, 2200BG, 2915ABG, 3945ABG, WiFi Link 4965AGN, 5100 a 5300.
Jakou kartu máte, to zjistíte tak, že otevřete ovládací panely, zvolíte »Systém / Hardware / Správce zařízení« a rozevřete položku »Síťové adaptéry«. Zde uvidíte svoji Wi-Fi kartu. Wi-Fi samozřejmě musíte mít zapnutou, aby ji systém uviděl.
Pro aktualizaci dvojitě klikněte na síťovou kartu, přejděte do záložky »Ovladač« a klikněte na »Odinstalovat«. Nejprve je totiž potřeba odstranit starý ovladač. Poté spusťte instalaci nového ovladače z Chip DVD.
Pokud vám připojení k Wi-Fi stále nefunguje a přitom si jste jisti, že konfigurace je v pořádku, můžete vyzkoušet jinou utilitu pro připojení. Možná používáte tu, která je integrovaná do Windows, a možná máte software od výrobce notebooku. Pokud ani jedna nefunguje, zkuste utility z Chip DVD. Ke každé síťové kartě jsme přichystali konfigurační utilitu přímo od Intelu, se kterou by připojení mělo fungovat.
VRATISLAV.KLEGA@CHIP.CZ
Na čem jedete?
V anketě na www.chip.cz jsme se vás ptali, který domácí router používáte. Zde jsou výsledky.
Z více než 800 odpovědí je vidět, že dominuje D-Link, a to téměř s čtvrtinovým podílem. Dvojkou je ZyXEL, kterému šlape na paty Asus. Překvapilo nás, jak slabé je zastoupení produktů Netgear, a Well používá dokonce jen 1,12 % hlasujících. Naopak nás překvapil čínský TP-Link, který se probojoval mezi první desítku.
Dual-Band: Dvakrát více síly
Během minulého roku se začala objevovat zařízení, která ve stejný okamžik fungují na dvou frekvencích. Označují se jako dual-band.
Nejprve s touto technologií přišel Netgear a D-Link, další výrobci se postupně přidávají. A co je na těchto zařízeních vlastně „dual“?
Wi-Fi standardu 802.11b/g/n funguje na frekvenci 2,4 GHz. Ta je dostatečně rychlá, v ideálním případě může dosahovat i 100 Mb/s, je ale také velmi zarušená. Wi-Fi sítí pracujících na této frekvenci je velké množství a ruší i Bluetooth zařízení. Proto existuje i standard 802.11a, který pracuje na frekvenci 5 GHz. Tato frekvence je méně zarušená a přenos je tak stabilnější. Dual-band přístroje pak nabízí všechny technologie dohromady - tedy 802.11a/b/g/n. Navíc mají jednu specialitu - přenos funguje v jednom okamžiku přes obě frekvence, tedy 2,4 i 5 GHz. Podle potřeby provoz probíhá přes jednu nebo druhou frekvenci. Při plném zatížení pak jedou obě frekvence naplno a přenosová rychlost je na nejlepší možné úrovni. Díky této technologii tedy bude přenos rychlý za všech okolností. Dual-band má však i své nevýhody.
Největší překážkou jsou klienti. Současné Wi-Fi karty integrované do notebooků dualband technologii nepodporují, proto budou moci fungovat jen na 2,4 nebo 5 GHz. Nezvládnou ale paralelní přenos přes obě pásma. Abyste potenciál využili, budete si muset koupit speciální Wi-Fi síťovou kartu, která dual-band podporuje. Takové karty jsou navíc stále hodně drahé.
Druhá nevýhoda vyplývá ze samotného postavení technologie. Pokud chcete využít plnou rychlost přes obě pásma, je třeba, abyste prováděli více operací. Vysvětlení: Pokud budete kopírovat jeden soubor, poběží kopírování jen na jednom pásmu. Druhé bude nevytížené. Abyste vytížili i druhé pásmo, budete muset spustit kopírování ještě jednoho souboru. Tedy až v případě paralelního přenosu se naplno využijí obě pásma. Je to stejné, jako když aplikaci optimalizovanou pro jednojádrové CPU spustíte na dvoujádrovém CPU.
Bez vzduchu: Daleko a kvalitně
Vzduch není ideální prostředí pro šíření dat. Metalickým vodičům to vždy půjde lépe.
Pokud chcete mít připojený notebook, je Wi-Fi ideální. Nemusíte s sebou tahat žádné kabely a signál máte kdekoliv. Jsou však i zařízení, která jsou pro připojení přes Wi-Fi zcela nevhodná. Jedná se třeba o domácí multimediální centrum, které přehrává filmy, síťový disk nebo i obyčejný počítač, se kterým nehýbete a má své stálé místo.
Wi-Fi totiž trpí celou řadou neduhů. Rychlost přenosu je značně kolísavá, ideálních hodnot dosáhnete jen v laboratorních podmínkách a také stabilita bezdrátového přenosu není dokonalá. Ztráty, zpoždění, útlum přes zdi - Wi-Fi má zkrátka své problémy. Chcete-li připojit zařízení, které má své pevné místo a se kterým nebudete často pohybovat, je lepší využít kabelu. A nemusíte hned natahovat ethernetové kabely, provrtávat zdi a lištovat. Stačí využít kabely, které máte doma již nainstalované.
HOMEPLUGY: Tuto technologii z Chipu již moc dobře znáte. Homeplugy používají pro přenos dat elektrické dráty. Vše je díky tomu velmi jednoduché. Stačí krabičky připojit do elektrické zásuvky a síť je hotova. Do jedné připojíte kabel z routeru, do druhé počítač. Taková síť je dostatečně rychlá i pro HD video až na desítky metrů a stabilita sítě je na výborné úrovni. Cena za pár u 200Mb/s verzí začíná na 2 000 Kč.
ANTÉNA: Mnoho bytových domů je vybaveno společnou televizní anténou. Ta využívá koaxiální kabel, který je ideálním nosičem dat. Jedno takové zařízení, které využívá koaxiální kabel, popisujeme v krátkých testech na straně 94. Princip je jednoduchý. K jedné straně krabičky připojíte síťový kabel z routeru, ke druhé straně téže krabičky připojíte koaxiální kabel ze společné antény. Druhou krabičku připojíte k počítači a opět ke společné anténě - a síť je hotova. Výhodou je, že takto vytvoříte síť i na větší vzdálenost, a to i mezi byty, kam by Wi-Fi vůbec nedosáhla a kde by k homeplug byl zbrzděný elektrickými hodinami.
VDSL: Tato technologie pro změnu využívá telefonní dráty, které jsou u nás rovněž nataženy prakticky do každého bytu. Technologie patří do rodiny xDSL, stejně jako u nás rozšířené ADSL, ale nabízí symetrickou rychlost 100 Mb/s, což je mnohonásobně více. Hodí se spíše pro větší domy, ve kterých více uživatelů stojí o přístup k internetu. VDSL zařízení u nás prodává především ZyXEL, cena řešení je však poněkud vyšší.
- Praxe - Kdo chytá ve vaší síti? (347.13 kB) - Staženo 1520x