Ασφάλεια διαδικτύου, Διαδίκτυο

Wi-FI στο σπίτι. Είμαστε προστατευμένοι; Τι να προσέξουμε

Γράφει ο Απόστολος Τσιρογιάννης, 

System Administrator, IT Security Engineer

 

Είναι απόγευμα. Γυρίζουμε από την δουλειά μας και πιάνουμε το κινητό μας, για να ελέγξουμε social media ή και να επικοινωνήσουμε με τους φίλους μας μέσω chat apps. Η συσκευή μας έχει ήδη συνδεθεί στο Wi-Fi του σπιτιού μας, όπως υποδεικνύει και το σχετικό εικονίδιο. Όμως εμείς δεν μπορούμε να σερφάρουμε. Η συσκευή μας δεν είναι συνδεδεμένη στο Internet. Μα πως; Αφού έχουμε Wi-Fi σύνδεση! Πρέπει να αναφέρω, για όσους δεν γνωρίζουν, πως όντας συνδεδεμένοι σε ένα Wi-FI δίκτυο δεν μας δίνει αυτόματα και πρόσβαση στο Internet.  Το Wi-Fi είναι ένα πρωτόκολλο ασύρματης επικοινωνίας μεταξύ συσκευών. Στην συγκεκριμένη περίπτωση, μεταξύ της συσκευής μας και του Access Point. Λέω Access Point και όχι Router για τον απλούστατο λόγο πως τα Router μπορεί να είναι ταυτόχρονα Access Points, μπορεί και όχι. Ένα Access Point πρέπει να συνδέεται με ένα Router, που μας αναδρομολογεί με τον «έξω κόσμο». Όταν για παράδειγμα, έχουμε μια κτηριακή εγκατάσταση ή ένα σπίτι με πολλά δωμάτια και ορόφους, θα έχουμε ένα router και πολλά access points, που θα συνδέονται σε αυτό. Με αυτό τον τρόπο επεκτείνουμε την εμβέλεια του Wi-Fi μας στους χώρους. Wi-Fi προέρχεται από την ορολογία “Wireless Fidelity”.

Πλέον, οι συσκευές μας όταν μέσω του Wi-Fi δεν έχουν πρόσβαση στο διαδίκτυο, μας προειδοποιούν με ένα θαυμαστικό στο εικονίδιο (). Οι τρόποι επίλυσης ποικίλουν. Από ένα απλό reboot του Router και της συσκευής μας, μέχρι και reset του Router. Στον παρακάτω σύνδεσμο https://www.support.com/how-to/how-to-fix-being-connected-to-wifi-with-no-internet-10957 μέσω ερωτήσεων και απαντήσεων που δίνετε, σας βοηθάει να πραγματοποίησετε επίλυση του προβλήματος. Αν απαραίτητα κάνετε reset το Router/AP, θα πρέπει να συνδεθείτε στη συνέχεια στο Wi-Fi με τους default κωδικούς που θα είναι γραμμένοι πάνω στο Router/AP (SSID και WPA Password) και φυσικά να κάνετε ξανά τις απαιτούμενες αλλαγές σ’ αυτό, για την ασφάλεια του δικτύου σας. Αν δεν είχατε κάνει προηγουμένως κάποιες αλλαγές τότε κακώς, γιατί κάποιος ο οποίος μπορεί να αποκτήσει πρόσβαση στο Wi-Fi δίκτυο σας, στην ουσία αποκτά πρόσβαση στην ζωή σας. Πάμε να δούμε ποιες είναι αυτές οι αλλαγές στο Router/AP και πως μπορούμε να τις κάνουμε.

Πριν προχωρήσουμε πρέπει να μάθουμε κάποιες βασικές ορολογίες και τι σημαίνουν, καθώς θα τις συναντούμε συχνά στις ρυθμίσεις μας.

IP  (Internet Protocol): είναι ο μοναδικός αριθμός αναγνώρισης μια συσκευής. Μια μοναδική διεύθυνση «κατοικίας» συσκευής. Αυτή η διεύθυνση δίνεται από τον DHCP Server (Dynamic Host Configuration Protocol). Συνήθως ο DHCP Server είναι το Router μας.

MAC Address (Media Access Control Address) : είναι η φυσική διεύθυνση της συσκευής και δίνεται από τον κατασκευαστή. Ενώ IP μια συσκευή μπορεί να αλλάζει συνεχώς, MAC Address (φυσική διεύθυνση) θα έχει πάντα την ίδια καθώς είναι «χαραγμένη» στην κάρτα δικτύου της συσκευής από τον κατασκευαστή. Υπάρχουν τεχνικές αλλαγής της βέβαια, αλλά ο σκοπός αλλαγής της σίγουρα θα είναι για αθέμιτους σκοπούς.

WPS (WiFI Protected Setup): στην ουσία ικανοποιεί ένα αίτημα για μεταφορά παραμέτρων σύνδεσης με την χρήση ενός 8ψηφιου PIN ή με την πίεση του πλήκτρου WPS στο Router/AP και στην συσκευή που θέλουμε να συνδέσουμε.

SSID (Service Set IDentifier): είναι ουσιαστικά το όνομα του Wi-Fi δικτύου.

WPA2 (WiFi Protected Access 2) : Είναι μια αναβαθμισμένη έκδοση των πρωτοκόλλων ασφαλείας WEP (Wired Equivalent Privacy) και WPA.

PSK (PreShared Key) : είναι ο κωδικός που χρησιμοποιούμε για να συνδεθούμε

AES (Advanced Encryption Standard): Μέθοδος κρυπτόγραφησης δεδομένων.

TKIP (Temporal Key Integrity Protocol): Παλιότερη μέθοδος κρυπτογράφησης δεδομένων.

Μας ενεργοποίησαν λοιπόν την καινούρια μας σύνδεση στο σπίτι μας ή στο γραφείο μας και εμείς είμαστε έτοιμοι να συνδεθούμε στο Wi-FI του Router (ή Access Point) και να αρχίσουμε να την εκμεταλλευόμαστε. Μα πριν το κάνουμε αυτό πρώτα ας κάνουμε μερικές αλλαγές. Θα μας είναι πιο εύκολο αν συνδέσουμε ένα laptop με καλώδιο δικτύου στο Access Point ή χρησιμοποιήσουμε έναν desktop υπολογιστή που να είναι συνδεδεμένος wired σε αυτό.

  • Πληκτρολογούμε την IP του Access Point στον browser μας. Αυτή συνήθως είναι 168.1.1 ή 192.168.2.1 ή 192.168.1.254. Πιο σπάνια θα είναι 10.0.0.1 ή 192.168.0.1 ή και και ακομή πχ http://tplinkmodem.net Θα μας ζητηθεί Username και Password. Είτε θα τα βρούμε γραμμένα πάνω στο Access Point είτε μπορούμε να βρούμε μια λίστα με default password ανάλογα το μοντέλο του Access Point εδώ https://www.softwaretestinghelp.com/default-router-username-and-password-list/.
  • Όταν συνδεθούμε στο AP (Access Point) πάμε πρώτα να αλλάξουμε τους κωδικούς με τους οποίους συνδεθήκαμε. Οπότε θα ψάξουμε την καρτέλα Device Management ή κάτι παρόμοιο ανάλογα το μοντέλο. Μόλις τα αλλάξουμε πατάμε Save. Σ’ αυτό το σημείο ίσως μας ζητήσει να συνδεθούμε με τα καινούρια διαπιστευτήρια.
  • Στην συνέχεια πάμε στο Tab (Καρτέλα) WLAN. Εκεί στο Tab Security αλλάζουμε το SSID σε κάτι δικό μας, ελέγχουμε την κρυπτογράφηση να είναι WPA2-AES ή WPA2-AES/TKIP (ποτέ δεν βάζουμε WEP ή WPA2-TKIP). Επίσης εκεί αλλάζουμε και το PSK σε κάτι δικό μας. Χρησιμοποιούμε γράμματα, αριθμούς και χαρακτήρες για ένα δυνατό password. Όσο μεγαλύτερο και πολύπλοκο τόσο το καλύτερο (αρκεί να το θυμόμαστε!).
  • Υπάρχουν AP που προσφέρουν και Guest Wi-Fi. Δηλαδή ένα AP να εκπέμπει 2 Wi-Fi. Καλό θα ήταν στο ένα τότε να βάλουμε Guest όνομα στο SSID (και εκεί να βάλουμε έναν κωδικό διαφορετικό από το άλλο Wi-Fi). Και το άλλο Wi-FI να το ονομάσουμε «Host» για παράδειγμα, το οποίο θα έχει και διαφορετικό κωδικό και να του επιλέξουμε και την επιλογή “Hide SSID”. Οπότε στην ουσία οι καλεσμένοι μας θα βλέπουν έναν δίκτυο το οποίο θα μπορούν να συνδεθούν. Με αυτό καταφέρνουμε, πως αν υπάρξει παραβίαση του Guest Wi-Fi, οι συσκευές μας που θα είναι συνδεμένες στο κρυφό Wi-Fi δεν διατρέχουν μεγάλο κίνδυνο, καθώς δεν θα μπορεί να τις δει κάποιος που είναι συνδεδεμένος στο Guest.
  • Ενεργοποιήστε το Firewall του AP, αν δεν είναι ενεργοποιημένο στην καρτέλα Firewall.
  • Ενεργοποιήστε το MAC Filtering Access. Γι’ αυτο θα χρειαστείτε να γνωρίζετε τις MAC διευθύνσεις των συσκευών σας. Για τα PC πληκτρολογείστε CMD στην αναζήτηση και θα σας ανοίξει το Command Promt. Εκεί πληκτρολογήστε getmac και θα σας εμφανίσει τις MAC Address από τις κάρτες δικτύου που χρησιμοποιείτε. Ιδανικά θα έχετε μόνο μια. Αλλιώς αν έχετε περισσότερες πρέπει να τις προσθέσετε όλες, καθώς δεν θα μπορείτε να συνδεθείτε στο Wi-FI, αν δεν έχετε δηλώσει την MAC Address στο AP. Για smartphone ή tablet απλα πηγαίνετε Ρυθμίσεις και Σχετικά και δείτε εκεί την MAC Address της κάρτας δικτύου της συσκευής σας.
  • Απενεργοποιήστε το WPS. Έχει πολλά κενά ασφαλείας και δεν σας προσφέρει κάτι ουσιαστικό.
  • Απενεργοποιήστε την απομακρυσμένη διαχείριση (Remote Management) αν έχει.
  • Κρατήστε το AP σας μακριά από τα παράθυρα. Τοποθετώντας το, στην μέση του χώρου σας, αφενός πετυχαίνετε καλύτερη κάλυψη και αφετέρου το σήμα εξωτερικά είναι ασθενέστερο έως και μηδαμινό. Κάτι που είναι αποτρεπτικός παράγοντας για κάποιον με κακόβουλες προθέσεις.
  • Καλό θα ήταν να απενεργοποιείτε το WLAN όταν δεν βρίσκεστε σπίτι (μειώνετε την χρονική επιφάνεια επίθεσης). Τα περισσότερα AP έχουν πλήκτρο (WLAN) το οποίο σας διευκολύνει σε αυτό.
  • Να αλλάζετε τακτικά το password του Wi-Fi σας.
  • Μερικά AP έχουν την επιλογή για ενεργοποίηση VPN. Για να το ρυθμίσετε θα πρέπει να είστε συνδρομητές ήδη σε μια υπηρεσια VPN.
  • Το είπαμε και παραπάνω αλλά πρέπει να το ξαναπούμε! Hide SSID !! Το όνομα του οικιακου Wi-Fi σας δεν πρέπει να είναι εμφανίσημο. Υπάρχουν οι επιθέσεις όπως πχ Evil Twin. Η εν λόγω επίθεση αντιγράφει το SSID και δεν προσθέτει password φυσικά (δεν το γνωρίζει ο επιτηθέμενος). Στην συνέχεια στέλνει συνεχώς deauthentication packets στο AP σας με αποτέλεσμα να σας πετάει έξω από το Wi-Fi σας. Η συσκευή σας πάει να συνδεθεί ξανά βλέπει το Evil Twin SSID και συνδέεται εκεί, καθώς στο original δεν μπορεί να συνδεθεί λόγω deauthentication attack που λαμβάνει χώρα εκείνη την στιγμή. Δεν έχει πρόβλημα να συνδεθεί στο Evil Twin καθώς δεν χρειάζεται κάποιος κωδικός. Πλέον είστε στο δίκτυο του επιτηθέμενου με ό,τι αυτό συνεπάγεται. Τα δεδομένα που ανταλλάζετε ,όλα περνάνε πλέον από τον server του επιτηθέμενου.
  • Update τακτικά το firmware του Router/AP.

Θα πρέπει να διαλέξετε επίσης σε τι συχνότητα θα εκπέμπει το Wi-Fi σας. Θα δείτε δύο συχνότητες 2,4Ghz και 5Ghz. Η διαφορά αυτών των δύο είναι πως το 5Ghz κάνει πιο γρήγορα μεταφορά δεδομένων. Διευκολύνει πχ το streaming video. Μην βιαστείτε να το διαλέξετε όμως! Έχει το μειονέκτημα πως δεν διαπερνά τους τοίχους και τα στέρεα αντικείμενα επαρκώς. Οπότε στο διπλανό δωμάτιο, το Wi-Fi σας θα είναι εμφανώς αποδυναμωμένο. Υπάρχουν AP που είναι Dual Band και υποστηρίζουν ταυτόχρονα αυτές τις δύο συχνότητες. Και σχεδόν όλα τα AP έχουν την δυνατότητα της αυτόματης ενεργοποίησης και απενεργοποίησης του Wi-Fi. Δηλώνετε ποια ώρα θέλετε να ανοίγει και να κλείνει! Πολύ χρησιμό, καθώς δεν είναι και ό,τι καλύτερο την νύχτα να είναι ανοιχτό. Αφενός δεν μας είναι χρήσιμο και αφετέρου είναι περισσότερες ενεργό, οπότε η χρονική επιφάνεια επίθεσης αυξάνεται. Ένας άλλος λόγος είναι φυσικά, πως πρέπει να αποφεύγουμε όσο το περισσότερο δυνατό μπορούμε την εκθεσή μας σε EMFs (Electromagnetic Fields).

            “Wi-Fi is like people. There are many but you connect to those you really trust” (A. Tsirogiannis).