Szeretjük a Wi-Fi-t, mert egyszerű, csak egyszer kell rákapcsolódni, és gyors, kényelmes netkapcsolatot kínál. Sok fejfájást is okozhat azonban, elég egy rossz központi egység vagy csak néhány elrontott beállítás, és a hatótáv máris csökken, a kapcsolat szakadozik, sőt a biztonság is csorbulhat. A beállítások között rengeteg rövidítéssel, szakzsargonnal találja szemben magát a felhasználó, így nem csoda, ha rosszul konfigurálja routerét. Cikkünkben az otthoni Wi-Fi-hálózatok biztonsági beállításait vesszük sorra. Megmutatjuk, melyik az elavult, felesleges funkció, melyik lassítja érezhetően a sebességet, és melyik az, amit mindenképpen ajánlott aktiválni, hogy biztonságos, gyors és nagy hatótávolságú netet használhass lakásodban.
Kódszavak bűvöletében
A router mára általános háztartási eszközzé vált - még annak is van, aki talán nem is tudja, mi az pontosan. Sokszor az internetszolgáltató telepíti, jobb esetben te magad választasz egy minőségi, fejlett modellt. Az útválasztók fontos része a belső menü, ahol a hálózat alapvető működését, sebességét és biztonságát állíthatod be. Már a pár ezer forintos példányok is rengeteg beállítást kínálnak, amelyek közül azonban nem szabad mindegyiket aktiválni, mert ez végzetes lehet az otthoni hálózat számára. A legnagyobb gond, hogy ezek a menürendszerek nem kifejezetten felhasználóbarát felülettel dolgoznak, ha pedig valaki idetéved, rögtön egy rakás rövidítéssel találkozik. A rádiós rész beállításait két részre lehet bontani: a Wi-Fi szabvány, a felhasznált csatorna, a moduláció, a csatorna szélessége a sebességre vonatkozik, míg az olyan kódszavak, mint az SSID, az AES, a WPA2, a WIPS és a RADIUS a biztonságot hivatottak javítani. Sokan csupán a Wi-Fi-kapcsolat sebességével törődnek, pedig a biztonság legalább annyira fontos, ráadásul ha ezt rosszul állítod be, az a teljesítményre is hatással lehet.
Legyen szó bármelyik routerről, SSID-vel (Service Set Identifier) és titkosítással egészen biztosan fogsz találkozni. Az SSID nem más, mint a Wi-Fi-hálózat neve, amit mindenképpen meg kell változtatnod a gyári alapértelmezettről. Ez az elnevezés ne legyen túlzottan egyszerű, főleg angolul értelmes, mert egyes Wi-Fi-feltörési támadásokhoz ezt is felhasználják szótáras támadásokkal. Ugyan az SSID-t el is rejtheted, ezt mi mégsem javasoljuk, mert sok kényelmetlenséget okozhat, ráadásul nagyobb védelmet nem nyújt. A frappáns név megválasztása után mindenképpen aktiváld a titkosítást, vagyis annak, aki kapcsolódni szeretne Wi-Fi-hálózatodhoz, egy megfelelő jelszóra is szüksége lesz. Eredetileg a WEP 64 és WEP 128 szabványok (Wired Equivalent Privacy) voltak elérhetőek, azonban hiába a 128 bites titkosítás, a szakértők temérdek biztonsági rést találtak, ma már egyszerű szoftverekkel bárki feltörhet egy WEP-titkosítású Wi-Fi-hálózatot.
A másik opció a beállításoknál a WPA, vagyis Wi-Fi Protected Access, amely újabb és biztonságosabb elődjénél. Itt sem szabad azonban megállni, az eredeti WPA már nem biztonságos, könnyen megkerülhető, ezért a WPA2-t aktiváld. Ez sem tökéletes, de elég nagy védelmet nyújt, főleg akkor, ha megfelelő titkosítással használod. A TKIP a Temporal Key Integrity Protocol rövidítése, és mivel sajnos már sikerült megtalálni a gyenge pontját, marad az AES (Advanced Encryption Standard), ami a sok választási lehetőség közül a legnagyobb biztonságot adja. Sokszor felbukkan még a PSK kódszó is, a Pre-Shared Key rövidítése. Ez az a WPA2-jelszó, amit meg kell adnod a klienseszközöknél Wi-Fi-jelszóként, hogy azok kapcsolódni tudjanak a hálózathoz. A WPA2-AES azonban nem minden esetben ideális beállítás, különösen akkor, ha régebbi készülékek is mozognak a lakásban, amelyek nem képesek ebben a biztonsági módban dolgozni. Ennek kiküszöbölésére a legtöbb routeren van WPA2-PSK (AES+TKIP) funkció, így azok a készülékek, amelyek nem tudnak AES-titkosítással kapcsolódni, visszaválthatnak TKIP-re, a router ezeket is befogadja majd.
A kompatibilitás miatt a legtöbb routergyártó, sőt a szolgáltatók is a WPA2-AES/TKIP-t állítják be gyári alapértelmezettként, pedig 2018-ban mi ezt már nem javasoljuk. A WPA2 szabványt 2004-ben fogadták el, 2006-tól pedig minden eszköz, amelyen ott a Wi-Fi-logó, kötelezően kompatibilis ezzel. Amennyiben nincs 12 évnél idősebb Wi-Fi-eszközöd, szinte biztos, hogy lekapcsolhatod ezt a kompatibilitási funkciót. Azzal ugyanis, hogy aktiváltad, elérhetővé tetted a sebezhető TKIP/WPA szabványokat a rosszindulatú hackerek számára is, akik így könnyen rést üthetnek biztonságosnak hitt hálózatod védelmén. Emellett néhány routernél előfordul, hogy ez a kompatibilitási mód a Wi-Fi teljesítményét is rontja, sőt amint egy eszköz WPA-TKIP-n kapcsolódik, az útválasztó automatikusan visszavált 54 Mbit/s sebességre, hogy garantálja a régi klienseszközök működését.
Biztonság 2.0
A fent leírtak meglehetősen nagy védelmet jelentenek megfelelően bonyolult SSID és jelszó megválasztása mellett, a biztonságot azonban még tovább lehet javítani azzal, hogy a végfelhasználói funkciók helyett a nagyvállalatoknak szánt opciókat aktiválod. Az átlagos felhasználói WLAN-hálózatoknál (WPA2-Personal) egyetlen jelszó létezik, ezt kapja meg minden kliens, és ezzel lehet kapcsolódni a teljes hálózathoz. Ez azonban rizikós, elég, ha valaki megtudja a Wi-Fi-jelszót, vagy egy hacker valamilyen eszközhibát kihasználva egy klienstől ellopja azt, és máris illetéktelenek hatolnak be hálózatodra.
A WPA2-Personal beállítások mellett létezik egy WPA2-Enterprise titkosítási módszer is: egy úgynevezett RADIUS szervert (Remote Authentication Dial-In User Service) kell bevetned a további hitelesítés érdekében. Ilyen funkciót néhány drágább router is kínál, de például a modern NAS-okban is megtalálható, vagy külön a szerver-PC-t beállítva is aktiválható. A technológia lényege, hogy a Wi-Fi-re kapcsolódáshoz nem elegendő egyetlen jelszó minden kliensnek, helyette a felhasználóknak egyedi felhasználónév-jelszó párosra van szükségük a kapcsolódáshoz. A RADIUS-szerveren tudod felvenni az új felhasználókat és eszközöket, így mindenki a saját jelszavával kapcsolódhat a hálózathoz. Amennyiben valakitől meg akarod vonni az elérést, nem kell mindenkit értesítened a jelszóváltoztatásról, elegendő törölni őt a felhasználók sorából. Támadás ellen is véd a RADIUS, hiszen ha egy hacker megfejti egy felhasználó titkosításhoz használt jelszavát, csak ezt az egy adatfolyamot kapja el, a többi továbbra is elérhetetlen lesz számára.
Hasznos trükkök
A RADIUS biztonságos, de bonyolult, kényelmetlen megoldás. Ha ezt nem is, néhány extra védelmi intézkedést azonban érdemes elvégezni. Elsőként változtasd meg a router jelszavát, illetve tiltsd le a beállítómenü-hozzáférést a Wi-Fi-n keresztül, így kizárólag az tudja konfigurálni a netet, aki kábelen csatlakozik a routerhez. A WPS-funkciót érdemes kikapcsolni: ez egy gombnyomásos, azonnali, jelszó nélküli Wi-Fi-kapcsolatot kínál, de könnyen feltörhető, és rontja a biztonságot. A MAC-cím-szűrést viszont nem ajánlatos használni, mert ennek megkerülését már megoldották a hackerek, így nem nyújt túl nagy védelmet, csak a kényelmetlenséget növeli.
A legtöbb útválasztóban tűzfal is lapul, ezt mindenképpen aktiváld, illetve a túlterhelés elleni védelmet is használd ki (DDoS), hogy helyi hálózatodat ne tudják lelökni az internetről. A modern routerek emellett vendég-Wi-Fi-hálózatot is kínálnak, ami nagyon hasznos funkció. Ezzel a fő otthoni hálózattól elszeparált eszközök kapcsolódhatnak az internetre, így a többi helyi hálózati erőforrást nem látják, de a netelérésük biztosított. Általában azt is megadhatod, hogy a teljes sávszélességből mennyit használhatnak a vendégeszközök.