09.12.2011, 18:31
Niezbyt nowy tekst, ale ciągle aktualny - a ja ciągle mam u siebie Liveboxa w pierwszej wersji 
A nóż-widelec komuś się przyda.
Od ponad 2 lat jestem użytkownikiem Neostrady, najpopularniejszej usługi świadczonej przez Telekomunikację Polską. Nie żebym miał dostęp do internetu zaledwie przez rok, czy też nigdy wcześniej z Neostrady nie korzystał – a owszem, kilka lat temu również używałem ich łącz, ale pojawiła się możliwość przejścia na coś znacznie szybszego i o znacznie większych możliwościach, a konkretniej pełnoprawny DSL. Wszystko działało bardzo dobrze, poza tym można było nieco „pobawić się” serwerem zapewniającym podział łącza, oraz filtrowanie ruchu (zapora na iptables) w całej sieci miejskiej. Niestety nagle z nieznanych przyczyn pojawiły się problemy z dostawcą no i należało poszukać alternatywy. Najpierw zdecydowałem się na Dialog, lecz wszystkie formalności które muszą zostać spełnione (czytaj: konieczność sprawdzenia możliwości i przełączenie abonenta przez TP) trwały tak długo, że ostatecznie wycofałem się z tego pomysłu. Postawiłem więc na Neostradę, a że za niewielką dopłatą był router wifi, postanowiłem skorzystać z promocji.
Czy Livebox spełnia się w roli routera wifi?
Wiele osób narzeka na samą Neostradę i na sam sprzęt dostarczany przez TP, a przynajmniej miało to miejsce w wypadku pierwszej wersji Liveboxa którą posiadam (nie używałem drugiej wersji, nie mogę się o niej wypowiedzieć). Szczerze, to ja jakoś kiedyś nie widziałem powodów aby to robić, a przez ostatni rok również żadnych ekscesów nie było. Co prawda zasięg sieci bezprzewodowej dostępnej z Liveboxa nie jest największy, ale w zupełności wystarczający, aby pokrył cały budynek w którym mieszkam, a także sporą część niewielkiego „podwórka”. Nie narzekam tym bardziej dlatego, że bezproblemowo łączy się nawet telefon komórkowy, który przecież nie ma jakiegoś porażającego zasięgu w sieciach wifi. No ale dobra, nie miałem wcale zamiaru pisać o samym Liveboxie, ale o sposobach zabezpieczenia sieci przez niego tworzonej. Skala problemu wydaje się nieistotna, ale w rzeczywistości wygląda to zupełnie inaczej: jeżeli sieci odpowiednio nie zabezpieczymy, to dostęp do niej może uzyskać choćby nasz sąsiad.
Bodajże rok temu w Niemczech pewna osoba otrzymała wysoką karę pieniężną właśnie za to, że nie zabezpieczyła routera wifi... dlaczego? Podczas jej nieobecności ktoś korzystał z sieci i pobierał nielegalne materiały. Co prawda u nas (jeszcze) nie stosuje się aż tak radykalnych kroków, a i piraci czują się bezkarni, ale pozostawienie wszystkiego samemu sobie jest delikatnie mówiąc, bez sensu. Przydałoby się to więc odpowiednio skonfigurować, potrzeba na to dosłownie kilku minut. Na początku będzie potrzebny adres routera, oraz login i hasło administratora. Adres bramy w domyślnie tworzonej sieci to 192.168.1.1, jeżeli zmieniliście go, to z pewnością wiecie, jaki jest. Otwieramy dowolną przeglądarkę, wklepujemy adres i logujemy się do panelu administracyjnego.
Zmieniamy dane dostępowe panelu
Pierwszą rzeczą jaką wykonamy jest zmiana nazwy konta administratora, oraz hasła dostępu do panelu. Po co w ogóle to robić? Gdyby już ktoś połączył się z naszą siecią, najlepiej byłoby, gdyby nie mógł nic namieszać w jej ustawieniach. Domyślna nazwa użytkownika to admin – dzięki zmianie włamywacz będzie musiał nie tylko szukać hasła, ale i odpowiedniego loginu. Przechodzimy do konfiguracji zaawansowanej. Z zakładki Zapora sieciowa wybieramy opcję Kontrola dostępu. Mamy do wyboru dwa rozwiązania – pierwszym jest edycja domyślnego użytkownika, drugą natomiast dodanie nowego i usunięcie domyślnego. W praktyce nie robi to wielkiej różnicy. Najważniejsze jest to, aby wpisać login trudny do zgadnięcia. Następnie zmieniamy hasło. Tutaj radzę skorzystać z jakiegoś własnego sposobu na tworzenie mocnych haseł (minimum 8 liter, małe i duże litery, cyfry + znaki specjalne), lub też skorzystać z generatora, których w internecie nie brakuje. Oczywiście po zmianach zapisujemy konfigurację.
[attachment=0] <!-- ia0 -->livebox.png<!-- ia0 -->[/attachment]
Filtrujemy adresy MAC
Następnym krokiem jest ograniczenie dopuszczanych do korzystania z sieci komputerów tylko do takich, których adresy MAC zostały wymienione na specjalnej liście. Co prawda nie jest to obecnie żadne zabezpieczenie, ponieważ włamywacz po zebraniu odpowiedniej ilości pakietów będzie w stanie zdobyć któryś z takich adresów i ustawić go na swoim komputerze, ale zawsze to dodatkowa ściana (albo raczej zasłona) przed dzieciakami bawiącymi się w „hakierów”. Wracamy do podstawowej konfiguracji i przechodzimy na zakładkę Sieć bezprzewodowa. Po prawej stronie możemy edytować listę adresów MAC dopuszczonych do połączenia (oczywiście nie zapominamy o tym, aby zaznaczyć, iż router ma im zezwalać, a nie je blokować). Tak w ogóle, to jak możemy uzyskać adres MAC naszej karty sieciowej? W systemie Windows wystarczy z menu start wybrać uruchom, wklepać cmd. Otworzy nam się wiersz poleceń. Wpisujemy w nim polecenie getmac i klikamy enter, po czym wyświetlonezostaną „maki” wszystkich kart dostępnych w komputerze. Jeżeli nie jesteśmy pewni która jest która (a można to wywnioskować po stanie, który też zostanie wyświetlony), możemy użyć również polecenia ipconfig /all, które podaje znacznie więcej informacji, lecz podzielonych na oddzielne interfejsy. Tym sposobem dodajemy do listy wszystkie adresy komputerów, które mają korzystać z wifi (dla połączenia LAN nie jest to w ogóle potrzebne). Włączany filtrowanie, zapisujemy konfigurację.
Zmieniamy nazwę sieci oraz kanał
W dalszej kolejności możemy zdecydować się na usunięcie nazwy sieci, dzięki czemu nie będzie ona wyświetlane na liście dostępnych podczas przeglądania. Oczywiście również nie jest to żadne trudne zabezpieczenie (wiele programów wykaże nam sieci w zasięgu pomimo tego, że są one „ukryte”), ale wspomniane wyżej dzieci mogą pomyśleć, że w ogóle nie ma czego próbować atakować. Nazwa naszej sieci jest określona w polu SSID. Dodatkowo chciałbym wspomnieć o tym, że możemy zmienić domyślny kanał, na którym pracuje nasze wifi. Czemu to służy? Jeżeli w okolicy są inne sieci, które również pracują na tym samym kanale, wzajemne zakłócanie się może być powodem problemów. O ile dobrze pamiętam, standardowy kanał to 11. Najbardziej optymalnym wyborem jest taki, który jest „oddalony o dwa oczka” (lub więcej, jeżeli jest taka możliwość) od będącego w użyciu. Jeżeli gdzieś obok mamy inną Neostradę, możemy więc ustawić np. 13 czy 9.
Włączamy szyfrowanie sieci
No i teraz przechodzimy do czegoś konkretnego, a więc szyfrowania naszego połączenia. Kategorycznie najgorszym rozwiązaniem jest zupełne wyłączenie szyfrowania. Przy czymś takimi włamywacz nie tylko może bezproblemowo dostać się do naszej sieci, ale i bez trudu przechwytywać dane przez nas wysyłane (a da się z nich wyciągnąć dużo, np. nasze hasła). Domyślnie Livebox korzysta z szyfrowania WEP, które już dosyć dawno temu zostało złamane. Pomimo dosyć długiego klucza (z pewnością podobało się Wam jego wpisywanie podczas konfiguracji dostępu do internetu i samej sieci), złamanie tego zabezpieczenia trwa obecnie... około 5-10 minut. Wszystko oczywiście zależy od tego, jak intensywnie korzystamy z sieci, jaki jest zasięg no i jakiego sprzętu używa włamywacz. Z tego co mi wiadomo, niestety nie wszystkie Liveboxy posiadają inną metodę szyfrowania. W moim wypadku na szczęście istnieje taka możliwość i na tym będę się wzorował. W polu zabezpieczenia wybieramy z listy rozwijanej WPA, który jest znacznie silniejszym standardem szyfrowania. Następnie klikamy na przycisk konfiguracja WPA. Tutaj z kolejnej rozwijanej listy wybieramy jako metodę szyfrowania AES, zaś w polu hasło wpisujemy ciąg znaków będący kluczem do naszej sieci. Najlepiej, gdyby był on podobnie jak hasło zlepkiem zupełnie losowych znaków. Długość również ma znaczenie – im dłuższy klucz (np. 30 znaków), tym trudniejsze jest jego złamanie. Niemniej jednak, urządzenia takie jak telefony z wifi mogą mieć pewne problemy z szybkością obsługiwania sieci szyfrowanej mocnym algorytmem i długim kluczem. Musimy więc wybrać jakiś kompromis. Zapisujemy zmiany, następnie konfigurację i uruchamiamy ponownie (z poziomu panelu) całego Liveboxa. Nasz system sam nie będzie w stanie nawiązać połączenia – musimy wybrać ręcznie sieć z listy i wprowadzić nowy klucz zabezpieczeń.
Co jeszcze możemy zrobić?
Wbrew pozorom, dosyć sporo. Oto kilka najbardziej istotnych zasad: jeżeli nie korzystamy z sieci bezprzewodowej, tylko ze złącza usb lub RJ45, całkowicie wyłączamy jej obsługę. Możemy to zrobić również w zakładce sieć bezprzewodowa. W okolicach mojej uczelni jest sporo niezabezpieczonych sieci, z domyślnymi danymi logowania... po zalogowaniu do panelu administracyjnego najczęściej okazuje się, że użytkownicy i tak łączą się po kablach, zaś wifi zostawiają włączone. Ponadto, gdy gdzieś wyjeżdżamy np. na kilka dni i nikogo nie ma w domu, wyłączamy z sieci elektrycznej i telefonicznej cały router/ap. Nie dość, że zabezpieczymy się od wypadków losowych, których gwarancja nie obejmuje (np. burza), to jeszcze zamkniemy dostęp do sieci niepowołanym osobom, które mogłyby próbować uzyskać do niej dostęp podczas naszej nieobecności. Ponadto warto upewnić się, czy w zakładce Narzędzia opcja zdalnej pomocy technicznej jest wyłączona – zapewnia ona możliwość dostępu do naszego panelu administracyjnego z sieci Internet i powinna być włączona tylko na prośbę pomocy technicznej, o ile oczywiście występują jakiekolwiek problemy i sprawę tę zgłaszamy do TP.
Niektórych może dziwić, że nie poruszyłem to w ogóle tematu wbudowanej w liveboxa zapory sieciowej. Sądzę jednak, że jest to rozwiązanie, które nie zapewni bezpieczeństwa naszym komputerom i musimy o tym pamiętać: dobrze zabezpieczona sieć jest ważna, ale jeszcze ważniejsze jest odpowiednie zabezpieczenie naszego systemu operacyjnego, a w tym wypadku wyspecjalizowane zapory (czy nawet zapora wbudowana w system, o czym pisałem wczoraj), spisują się znacznie lepiej. Poza tym korzystając z sieci wewnętrznej jaką tworzy Livebox znajdujemy się za NATem, bezpośrednio żaden z naszych komputerów nie jest więc wystawiony na atak.
A nóż-widelec komuś się przyda.
Od ponad 2 lat jestem użytkownikiem Neostrady, najpopularniejszej usługi świadczonej przez Telekomunikację Polską. Nie żebym miał dostęp do internetu zaledwie przez rok, czy też nigdy wcześniej z Neostrady nie korzystał – a owszem, kilka lat temu również używałem ich łącz, ale pojawiła się możliwość przejścia na coś znacznie szybszego i o znacznie większych możliwościach, a konkretniej pełnoprawny DSL. Wszystko działało bardzo dobrze, poza tym można było nieco „pobawić się” serwerem zapewniającym podział łącza, oraz filtrowanie ruchu (zapora na iptables) w całej sieci miejskiej. Niestety nagle z nieznanych przyczyn pojawiły się problemy z dostawcą no i należało poszukać alternatywy. Najpierw zdecydowałem się na Dialog, lecz wszystkie formalności które muszą zostać spełnione (czytaj: konieczność sprawdzenia możliwości i przełączenie abonenta przez TP) trwały tak długo, że ostatecznie wycofałem się z tego pomysłu. Postawiłem więc na Neostradę, a że za niewielką dopłatą był router wifi, postanowiłem skorzystać z promocji.
Czy Livebox spełnia się w roli routera wifi?
Wiele osób narzeka na samą Neostradę i na sam sprzęt dostarczany przez TP, a przynajmniej miało to miejsce w wypadku pierwszej wersji Liveboxa którą posiadam (nie używałem drugiej wersji, nie mogę się o niej wypowiedzieć). Szczerze, to ja jakoś kiedyś nie widziałem powodów aby to robić, a przez ostatni rok również żadnych ekscesów nie było. Co prawda zasięg sieci bezprzewodowej dostępnej z Liveboxa nie jest największy, ale w zupełności wystarczający, aby pokrył cały budynek w którym mieszkam, a także sporą część niewielkiego „podwórka”. Nie narzekam tym bardziej dlatego, że bezproblemowo łączy się nawet telefon komórkowy, który przecież nie ma jakiegoś porażającego zasięgu w sieciach wifi. No ale dobra, nie miałem wcale zamiaru pisać o samym Liveboxie, ale o sposobach zabezpieczenia sieci przez niego tworzonej. Skala problemu wydaje się nieistotna, ale w rzeczywistości wygląda to zupełnie inaczej: jeżeli sieci odpowiednio nie zabezpieczymy, to dostęp do niej może uzyskać choćby nasz sąsiad.
Bodajże rok temu w Niemczech pewna osoba otrzymała wysoką karę pieniężną właśnie za to, że nie zabezpieczyła routera wifi... dlaczego? Podczas jej nieobecności ktoś korzystał z sieci i pobierał nielegalne materiały. Co prawda u nas (jeszcze) nie stosuje się aż tak radykalnych kroków, a i piraci czują się bezkarni, ale pozostawienie wszystkiego samemu sobie jest delikatnie mówiąc, bez sensu. Przydałoby się to więc odpowiednio skonfigurować, potrzeba na to dosłownie kilku minut. Na początku będzie potrzebny adres routera, oraz login i hasło administratora. Adres bramy w domyślnie tworzonej sieci to 192.168.1.1, jeżeli zmieniliście go, to z pewnością wiecie, jaki jest. Otwieramy dowolną przeglądarkę, wklepujemy adres i logujemy się do panelu administracyjnego.
Zmieniamy dane dostępowe panelu
Pierwszą rzeczą jaką wykonamy jest zmiana nazwy konta administratora, oraz hasła dostępu do panelu. Po co w ogóle to robić? Gdyby już ktoś połączył się z naszą siecią, najlepiej byłoby, gdyby nie mógł nic namieszać w jej ustawieniach. Domyślna nazwa użytkownika to admin – dzięki zmianie włamywacz będzie musiał nie tylko szukać hasła, ale i odpowiedniego loginu. Przechodzimy do konfiguracji zaawansowanej. Z zakładki Zapora sieciowa wybieramy opcję Kontrola dostępu. Mamy do wyboru dwa rozwiązania – pierwszym jest edycja domyślnego użytkownika, drugą natomiast dodanie nowego i usunięcie domyślnego. W praktyce nie robi to wielkiej różnicy. Najważniejsze jest to, aby wpisać login trudny do zgadnięcia. Następnie zmieniamy hasło. Tutaj radzę skorzystać z jakiegoś własnego sposobu na tworzenie mocnych haseł (minimum 8 liter, małe i duże litery, cyfry + znaki specjalne), lub też skorzystać z generatora, których w internecie nie brakuje. Oczywiście po zmianach zapisujemy konfigurację.
[attachment=0] <!-- ia0 -->livebox.png<!-- ia0 -->[/attachment]
Filtrujemy adresy MAC
Następnym krokiem jest ograniczenie dopuszczanych do korzystania z sieci komputerów tylko do takich, których adresy MAC zostały wymienione na specjalnej liście. Co prawda nie jest to obecnie żadne zabezpieczenie, ponieważ włamywacz po zebraniu odpowiedniej ilości pakietów będzie w stanie zdobyć któryś z takich adresów i ustawić go na swoim komputerze, ale zawsze to dodatkowa ściana (albo raczej zasłona) przed dzieciakami bawiącymi się w „hakierów”. Wracamy do podstawowej konfiguracji i przechodzimy na zakładkę Sieć bezprzewodowa. Po prawej stronie możemy edytować listę adresów MAC dopuszczonych do połączenia (oczywiście nie zapominamy o tym, aby zaznaczyć, iż router ma im zezwalać, a nie je blokować). Tak w ogóle, to jak możemy uzyskać adres MAC naszej karty sieciowej? W systemie Windows wystarczy z menu start wybrać uruchom, wklepać cmd. Otworzy nam się wiersz poleceń. Wpisujemy w nim polecenie getmac i klikamy enter, po czym wyświetlonezostaną „maki” wszystkich kart dostępnych w komputerze. Jeżeli nie jesteśmy pewni która jest która (a można to wywnioskować po stanie, który też zostanie wyświetlony), możemy użyć również polecenia ipconfig /all, które podaje znacznie więcej informacji, lecz podzielonych na oddzielne interfejsy. Tym sposobem dodajemy do listy wszystkie adresy komputerów, które mają korzystać z wifi (dla połączenia LAN nie jest to w ogóle potrzebne). Włączany filtrowanie, zapisujemy konfigurację.
Zmieniamy nazwę sieci oraz kanał
W dalszej kolejności możemy zdecydować się na usunięcie nazwy sieci, dzięki czemu nie będzie ona wyświetlane na liście dostępnych podczas przeglądania. Oczywiście również nie jest to żadne trudne zabezpieczenie (wiele programów wykaże nam sieci w zasięgu pomimo tego, że są one „ukryte”), ale wspomniane wyżej dzieci mogą pomyśleć, że w ogóle nie ma czego próbować atakować. Nazwa naszej sieci jest określona w polu SSID. Dodatkowo chciałbym wspomnieć o tym, że możemy zmienić domyślny kanał, na którym pracuje nasze wifi. Czemu to służy? Jeżeli w okolicy są inne sieci, które również pracują na tym samym kanale, wzajemne zakłócanie się może być powodem problemów. O ile dobrze pamiętam, standardowy kanał to 11. Najbardziej optymalnym wyborem jest taki, który jest „oddalony o dwa oczka” (lub więcej, jeżeli jest taka możliwość) od będącego w użyciu. Jeżeli gdzieś obok mamy inną Neostradę, możemy więc ustawić np. 13 czy 9.
Włączamy szyfrowanie sieci
No i teraz przechodzimy do czegoś konkretnego, a więc szyfrowania naszego połączenia. Kategorycznie najgorszym rozwiązaniem jest zupełne wyłączenie szyfrowania. Przy czymś takimi włamywacz nie tylko może bezproblemowo dostać się do naszej sieci, ale i bez trudu przechwytywać dane przez nas wysyłane (a da się z nich wyciągnąć dużo, np. nasze hasła). Domyślnie Livebox korzysta z szyfrowania WEP, które już dosyć dawno temu zostało złamane. Pomimo dosyć długiego klucza (z pewnością podobało się Wam jego wpisywanie podczas konfiguracji dostępu do internetu i samej sieci), złamanie tego zabezpieczenia trwa obecnie... około 5-10 minut. Wszystko oczywiście zależy od tego, jak intensywnie korzystamy z sieci, jaki jest zasięg no i jakiego sprzętu używa włamywacz. Z tego co mi wiadomo, niestety nie wszystkie Liveboxy posiadają inną metodę szyfrowania. W moim wypadku na szczęście istnieje taka możliwość i na tym będę się wzorował. W polu zabezpieczenia wybieramy z listy rozwijanej WPA, który jest znacznie silniejszym standardem szyfrowania. Następnie klikamy na przycisk konfiguracja WPA. Tutaj z kolejnej rozwijanej listy wybieramy jako metodę szyfrowania AES, zaś w polu hasło wpisujemy ciąg znaków będący kluczem do naszej sieci. Najlepiej, gdyby był on podobnie jak hasło zlepkiem zupełnie losowych znaków. Długość również ma znaczenie – im dłuższy klucz (np. 30 znaków), tym trudniejsze jest jego złamanie. Niemniej jednak, urządzenia takie jak telefony z wifi mogą mieć pewne problemy z szybkością obsługiwania sieci szyfrowanej mocnym algorytmem i długim kluczem. Musimy więc wybrać jakiś kompromis. Zapisujemy zmiany, następnie konfigurację i uruchamiamy ponownie (z poziomu panelu) całego Liveboxa. Nasz system sam nie będzie w stanie nawiązać połączenia – musimy wybrać ręcznie sieć z listy i wprowadzić nowy klucz zabezpieczeń.
Co jeszcze możemy zrobić?
Wbrew pozorom, dosyć sporo. Oto kilka najbardziej istotnych zasad: jeżeli nie korzystamy z sieci bezprzewodowej, tylko ze złącza usb lub RJ45, całkowicie wyłączamy jej obsługę. Możemy to zrobić również w zakładce sieć bezprzewodowa. W okolicach mojej uczelni jest sporo niezabezpieczonych sieci, z domyślnymi danymi logowania... po zalogowaniu do panelu administracyjnego najczęściej okazuje się, że użytkownicy i tak łączą się po kablach, zaś wifi zostawiają włączone. Ponadto, gdy gdzieś wyjeżdżamy np. na kilka dni i nikogo nie ma w domu, wyłączamy z sieci elektrycznej i telefonicznej cały router/ap. Nie dość, że zabezpieczymy się od wypadków losowych, których gwarancja nie obejmuje (np. burza), to jeszcze zamkniemy dostęp do sieci niepowołanym osobom, które mogłyby próbować uzyskać do niej dostęp podczas naszej nieobecności. Ponadto warto upewnić się, czy w zakładce Narzędzia opcja zdalnej pomocy technicznej jest wyłączona – zapewnia ona możliwość dostępu do naszego panelu administracyjnego z sieci Internet i powinna być włączona tylko na prośbę pomocy technicznej, o ile oczywiście występują jakiekolwiek problemy i sprawę tę zgłaszamy do TP.
Niektórych może dziwić, że nie poruszyłem to w ogóle tematu wbudowanej w liveboxa zapory sieciowej. Sądzę jednak, że jest to rozwiązanie, które nie zapewni bezpieczeństwa naszym komputerom i musimy o tym pamiętać: dobrze zabezpieczona sieć jest ważna, ale jeszcze ważniejsze jest odpowiednie zabezpieczenie naszego systemu operacyjnego, a w tym wypadku wyspecjalizowane zapory (czy nawet zapora wbudowana w system, o czym pisałem wczoraj), spisują się znacznie lepiej. Poza tym korzystając z sieci wewnętrznej jaką tworzy Livebox znajdujemy się za NATem, bezpośrednio żaden z naszych komputerów nie jest więc wystawiony na atak.