Turvaline WiFi-ühendus nõuab seadistamist

Raadiovõrk on mugav nii kodus kui ka kontoris: arvutitöökoha asukoht ei ole enam piiratud kaabli pikkusega, sülearvuti omanikud saavad võrku kasutada kas või koduaias külitades või kontori puhkenurgas kohvi juues. Paraku aga kätkeb traadita arvutivõrgu kasutusmugavus endas ka ohtusid. Turvamata WiFi-võrku on võõral väljastpoolt kontorit siseneda sama lihtne, kui firma töötajal kontori kohvinurgast ? vaja läheb vaid paari näpuliigutust.

Kutsumata külaliseks võib olla nii hoone alumisel korrusel tegutseva pubi külastaja, kes tasuta leviala otsib, konkureeriva firma spioon kui ka pahatahtlik häkker. Traadita arvutivõrgu levikul tekkis arvutiterminoloogiasse ingliskeelne mõiste war driving. Selle harrastajate hobiks on sõita sülearvutiga varustatult ringi ning otsida ja kaardistada WiFi levialasid. Iseenesest ei tekita selline ajaviide ju leviala omanikule otsest kahju, kuid pahatihti tegelevad war driving?uga mitte just kõige seadusekuulelikumad kodanikud, kelle eesmärgiks on paremal juhul lihtsalt võõra internetiühenduse loata kasutamine, halvemal juhul aga serveri ülevõtmine, info vargus või hävitamine.

Seega ? kui kodu või kontori aknad pole just turvakiledega kaetud, laed-põrandad hõbepaberiga vooderdatud ja seintele kleebitud hiljuti Briti teadlaste leiutatud WiFi-kindel tapeet, tasub oma traadita arvutivõrgu tugijaama turvaseaded kriitilise pilguga üle vaadata.

Vaikimisi on tugijaamade konfiguratsioonid reeglina äärmiselt ebaturvalised. Esiteks on turvavaba WiFi-võrku lihtsam installeerida ja kasutada. Teiseks võib näiteks krüpteeringu sisselülitamisel võrgu kiirus langeda. Kolmandaks ei ole tegelikult paljudes WiFi-võrkudes (nt avalikud tasuta levialad) mitmeid turvaabinõusid nagu kasutajateringi piiramine jms üldse tarvis. Küll aga on neid vaja kodus või kontori arvutivõrgus.

Turvaabinõuks number üks on traadita arvutivõrgu krüpteerimine. Kui krüpteerimata WiFi-võrku saab siseneda igaüks, kel teada võrgu SSID (Service Set Identifier), siis krüpteeritud võrku saab kasutatud vaid vajalikku võtme olemasolul. Traadita võrguühenduse krüpteerimiseks kasutatakse kahte standardit: WEP (Wired Equivalent Privacy) ja WPA (Wi-Fi Protected Access). WEPi toetavad kõik traadita võrguühenduse seadmed. WEP-krüpteeringu kasutamiseks on vaja serverisse sisestada võti ehk märgijada, mille pikkus sõltub krüpteeringu tugevusest (näiteks 128bitise krüpteeringu puhul on võtme pikkus 13 tähemärki). WEP-krüpteeringuga kaitstud WiFi-võrgu kasutamiseks tuleb oma arvutisse sisestada sama tähejada. Kogu võrguliiklus tugijaama ja klientarvuti vahel krüpteeritakse selle võtme abil. WEP-krüpteeringut pole tegelikult eriti keeruline lahti murda, kuid selleks kulub nädalaid, nii et juhuslik pahatahtlik huviline vaevalt seda viitsib ette võtta. Loomulikult tuleks aeg-ajalt ka võtit vahetada.

WPA on uuem ja turvalisem tehnoloogia kui WEP. WPAd kahjuks kõik vanemad WiFi-seadmed ei toeta. WPA erinevus WEPist seisneb selles, et ühe staatilise võtme asemel kasutatakse dünaamilist TKIP-tehnoloogiat (Temporary Key Integrity Protocol), mis seisneb automaatselt uute võtmete genereerimises. Seega vahetub võrguliikluse krüpteerimiseks kasutatav võti iga 5?30 minuti tagant, tänu millele pole häkkeritel aega seda lahti murda.

WiFi-võrku sisenemiseks võib aga ka lihtsalt sisselogimist nõuda. Selleks otstarbeks sobib mõni RADIUS-server (Remote Authentication Dial-In User Service), näiteks Microsofti IAS (Internet Authentication Service) RADIUS Server. Vaba lähtekoodiga RADIUS-serveri leiab aadressilt www.freeradius.org/. Suurepäraseks abinõuks WiFi-võrkude turvamisel on ka MAC-aadresside filter, mida paraku küll veel kõik tugijaamad ei võimalda. MAC-aadresside filtreerimisel lubatakse WiFi-võrku kasutada vaid kindla füüsilise aadressiga võrgukaartidel (iga võrgukaardi MAC-aadress on kogu maailmas unikaalne). Eriti hästi sobib MAC-aadresside filter firmadele, kelle raadiovõrku kasutatakse kindlatelt arvutitelt.

Tavaliselt on traadita arvutivõrgu tugijaam seadistatud DHCP-serveriks, st nad jagavad võrku sisenevatele arvutitele IP-aadressi automaatselt. Turvalisuse suurendamiseks võiks DHCP-serveri välja lülitada ja sisestada igasse klientar-vutisse IP, netmaski jms-d võrguühenduse parameetrid käsitsi. Traadita arvutivõrku installeerides tuleks kindlasti ära muuta vaikimisi pakutav SSID. Vastasel juhul on häkkeritel kergem võrku avastada ja lahti muukima hakata. Vaikimisi on SSIDks tavaliselt nimi, mis viitab seadme tootjale (näiteks Compaq), seda teades saab potentsiaalne sissetungija hakata häkkimiseks kasutama juba tugijaamamudelispetsiifilisi nippe. Kõige turvalisem on valida SSIDks suvaline tähekombinatsioon, mitte firma nimi.

Vaikimisi on suurem osa tugijaamadest seadistatud edastama SSIDd kõigile arvutitele, mis tugijaama levipiirkonnas WiFi-ühendust otsivad. Krüpteeritud ühenduse puhul küll võrku sisenemiseks ainult SSID teadmisest ei piisa, kuid siiski pole mõtet võimalikes häkkerites kiusatust tekitada. Seega on mõistlik SSID publitseerimine (broadcasting) välja lülitada ja lubada võrku kasutada vaid neil, kes oskavad ise õige ID sisestada.

Hoolikalt konfigureeritud turvaseadetest on aga vähe kasu, kui iga WiFi-võrgu kasutaja saab neid soovi korral muuta.

Tähelepanu võiks pöörata ka tugijaama asukohale. Ei ole mõtet tasuta võrgu otsijaid meelitada aknalauale paigutatud tugijaamaga, mis WiFit üle kogu tänava levitab ? targem on leida seadmele koht soovitava leviala keskel. Kui levi osutub siiski liiga tugevaks, annab seda edukalt vähendada tugijaamal antenni küljest ära kruvimisega.

Lõpuks ei tohi unustada ka elementaarseid võrguressursside jagamist puudutavaid turvanõudeid, mis kehtivad iga internetti ühendatud arvutivõrgu puhul, olgu see siis traadiga või traadita. Väljajagatud kettad-kataloogid ja võrguprinterid peaksid olema kaitstud paroolidega, serverites programmide käivitamine eeldama sisselogimist jms.

Autor: Elen Kiisler