[Poradnik] Zabezpieczamy WiFi w Neostradzie na Livebox
#1
Niezbyt nowy tekst, ale ciągle aktualny - a ja ciągle mam u siebie Liveboxa w pierwszej wersji Grin
A nóż-widelec komuś się przyda.



Od ponad 2 lat jestem użytkownikiem Neostrady, najpopularniejszej usługi świadczonej przez Telekomunikację Polską. Nie żebym miał dostęp do internetu zaledwie przez rok, czy też nigdy wcześniej z Neostrady nie korzystał – a owszem, kilka lat temu również używałem ich łącz, ale pojawiła się możliwość przejścia na coś znacznie szybszego i o znacznie większych możliwościach, a konkretniej pełnoprawny DSL. Wszystko działało bardzo dobrze, poza tym można było nieco „pobawić się” serwerem zapewniającym podział łącza, oraz filtrowanie ruchu (zapora na iptables) w całej sieci miejskiej. Niestety nagle z nieznanych przyczyn pojawiły się problemy z dostawcą no i należało poszukać alternatywy. Najpierw zdecydowałem się na Dialog, lecz wszystkie formalności które muszą zostać spełnione (czytaj: konieczność sprawdzenia możliwości i przełączenie abonenta przez TP) trwały tak długo, że ostatecznie wycofałem się z tego pomysłu. Postawiłem więc na Neostradę, a że za niewielką dopłatą był router wifi, postanowiłem skorzystać z promocji.


Czy Livebox spełnia się w roli routera wifi?
Wiele osób narzeka na samą Neostradę i na sam sprzęt dostarczany przez TP, a przynajmniej miało to miejsce w wypadku pierwszej wersji Liveboxa którą posiadam (nie używałem drugiej wersji, nie mogę się o niej wypowiedzieć). Szczerze, to ja jakoś kiedyś nie widziałem powodów aby to robić, a przez ostatni rok również żadnych ekscesów nie było. Co prawda zasięg sieci bezprzewodowej dostępnej z Liveboxa nie jest największy, ale w zupełności wystarczający, aby pokrył cały budynek w którym mieszkam, a także sporą część niewielkiego „podwórka”. Nie narzekam tym bardziej dlatego, że bezproblemowo łączy się nawet telefon komórkowy, który przecież nie ma jakiegoś porażającego zasięgu w sieciach wifi. No ale dobra, nie miałem wcale zamiaru pisać o samym Liveboxie, ale o sposobach zabezpieczenia sieci przez niego tworzonej. Skala problemu wydaje się nieistotna, ale w rzeczywistości wygląda to zupełnie inaczej: jeżeli sieci odpowiednio nie zabezpieczymy, to dostęp do niej może uzyskać choćby nasz sąsiad.

Bodajże rok temu w Niemczech pewna osoba otrzymała wysoką karę pieniężną właśnie za to, że nie zabezpieczyła routera wifi... dlaczego? Podczas jej nieobecności ktoś korzystał z sieci i pobierał nielegalne materiały. Co prawda u nas (jeszcze) nie stosuje się aż tak radykalnych kroków, a i piraci czują się bezkarni, ale pozostawienie wszystkiego samemu sobie jest delikatnie mówiąc, bez sensu. Przydałoby się to więc odpowiednio skonfigurować, potrzeba na to dosłownie kilku minut. Na początku będzie potrzebny adres routera, oraz login i hasło administratora. Adres bramy w domyślnie tworzonej sieci to 192.168.1.1, jeżeli zmieniliście go, to z pewnością wiecie, jaki jest. Otwieramy dowolną przeglądarkę, wklepujemy adres i logujemy się do panelu administracyjnego.


Zmieniamy dane dostępowe panelu
Pierwszą rzeczą jaką wykonamy jest zmiana nazwy konta administratora, oraz hasła dostępu do panelu. Po co w ogóle to robić? Gdyby już ktoś połączył się z naszą siecią, najlepiej byłoby, gdyby nie mógł nic namieszać w jej ustawieniach. Domyślna nazwa użytkownika to admin – dzięki zmianie włamywacz będzie musiał nie tylko szukać hasła, ale i odpowiedniego loginu. Przechodzimy do konfiguracji zaawansowanej. Z zakładki Zapora sieciowa wybieramy opcję Kontrola dostępu. Mamy do wyboru dwa rozwiązania – pierwszym jest edycja domyślnego użytkownika, drugą natomiast dodanie nowego i usunięcie domyślnego. W praktyce nie robi to wielkiej różnicy. Najważniejsze jest to, aby wpisać login trudny do zgadnięcia. Następnie zmieniamy hasło. Tutaj radzę skorzystać z jakiegoś własnego sposobu na tworzenie mocnych haseł (minimum 8 liter, małe i duże litery, cyfry + znaki specjalne), lub też skorzystać z generatora, których w internecie nie brakuje. Oczywiście po zmianach zapisujemy konfigurację.

[attachment=0] <!-- ia0 -->livebox.png<!-- ia0 -->[/attachment]

Filtrujemy adresy MAC
Następnym krokiem jest ograniczenie dopuszczanych do korzystania z sieci komputerów tylko do takich, których adresy MAC zostały wymienione na specjalnej liście. Co prawda nie jest to obecnie żadne zabezpieczenie, ponieważ włamywacz po zebraniu odpowiedniej ilości pakietów będzie w stanie zdobyć któryś z takich adresów i ustawić go na swoim komputerze, ale zawsze to dodatkowa ściana (albo raczej zasłona) przed dzieciakami bawiącymi się w „hakierów”. Wracamy do podstawowej konfiguracji i przechodzimy na zakładkę Sieć bezprzewodowa. Po prawej stronie możemy edytować listę adresów MAC dopuszczonych do połączenia (oczywiście nie zapominamy o tym, aby zaznaczyć, iż router ma im zezwalać, a nie je blokować). Tak w ogóle, to jak możemy uzyskać adres MAC naszej karty sieciowej? W systemie Windows wystarczy z menu start wybrać uruchom, wklepać cmd. Otworzy nam się wiersz poleceń. Wpisujemy w nim polecenie getmac i klikamy enter, po czym wyświetlonezostaną „maki” wszystkich kart dostępnych w komputerze. Jeżeli nie jesteśmy pewni która jest która (a można to wywnioskować po stanie, który też zostanie wyświetlony), możemy użyć również polecenia ipconfig /all, które podaje znacznie więcej informacji, lecz podzielonych na oddzielne interfejsy. Tym sposobem dodajemy do listy wszystkie adresy komputerów, które mają korzystać z wifi (dla połączenia LAN nie jest to w ogóle potrzebne). Włączany filtrowanie, zapisujemy konfigurację.


Zmieniamy nazwę sieci oraz kanał
W dalszej kolejności możemy zdecydować się na usunięcie nazwy sieci, dzięki czemu nie będzie ona wyświetlane na liście dostępnych podczas przeglądania. Oczywiście również nie jest to żadne trudne zabezpieczenie (wiele programów wykaże nam sieci w zasięgu pomimo tego, że są one „ukryte”), ale wspomniane wyżej dzieci mogą pomyśleć, że w ogóle nie ma czego próbować atakować. Nazwa naszej sieci jest określona w polu SSID. Dodatkowo chciałbym wspomnieć o tym, że możemy zmienić domyślny kanał, na którym pracuje nasze wifi. Czemu to służy? Jeżeli w okolicy są inne sieci, które również pracują na tym samym kanale, wzajemne zakłócanie się może być powodem problemów. O ile dobrze pamiętam, standardowy kanał to 11. Najbardziej optymalnym wyborem jest taki, który jest „oddalony o dwa oczka” (lub więcej, jeżeli jest taka możliwość) od będącego w użyciu. Jeżeli gdzieś obok mamy inną Neostradę, możemy więc ustawić np. 13 czy 9.


Włączamy szyfrowanie sieci
No i teraz przechodzimy do czegoś konkretnego, a więc szyfrowania naszego połączenia. Kategorycznie najgorszym rozwiązaniem jest zupełne wyłączenie szyfrowania. Przy czymś takimi włamywacz nie tylko może bezproblemowo dostać się do naszej sieci, ale i bez trudu przechwytywać dane przez nas wysyłane (a da się z nich wyciągnąć dużo, np. nasze hasła). Domyślnie Livebox korzysta z szyfrowania WEP, które już dosyć dawno temu zostało złamane. Pomimo dosyć długiego klucza (z pewnością podobało się Wam jego wpisywanie podczas konfiguracji dostępu do internetu i samej sieci), złamanie tego zabezpieczenia trwa obecnie... około 5-10 minut. Wszystko oczywiście zależy od tego, jak intensywnie korzystamy z sieci, jaki jest zasięg no i jakiego sprzętu używa włamywacz. Z tego co mi wiadomo, niestety nie wszystkie Liveboxy posiadają inną metodę szyfrowania. W moim wypadku na szczęście istnieje taka możliwość i na tym będę się wzorował. W polu zabezpieczenia wybieramy z listy rozwijanej WPA, który jest znacznie silniejszym standardem szyfrowania. Następnie klikamy na przycisk konfiguracja WPA. Tutaj z kolejnej rozwijanej listy wybieramy jako metodę szyfrowania AES, zaś w polu hasło wpisujemy ciąg znaków będący kluczem do naszej sieci. Najlepiej, gdyby był on podobnie jak hasło zlepkiem zupełnie losowych znaków. Długość również ma znaczenie – im dłuższy klucz (np. 30 znaków), tym trudniejsze jest jego złamanie. Niemniej jednak, urządzenia takie jak telefony z wifi mogą mieć pewne problemy z szybkością obsługiwania sieci szyfrowanej mocnym algorytmem i długim kluczem. Musimy więc wybrać jakiś kompromis. Zapisujemy zmiany, następnie konfigurację i uruchamiamy ponownie (z poziomu panelu) całego Liveboxa. Nasz system sam nie będzie w stanie nawiązać połączenia – musimy wybrać ręcznie sieć z listy i wprowadzić nowy klucz zabezpieczeń.


Co jeszcze możemy zrobić?
Wbrew pozorom, dosyć sporo. Oto kilka najbardziej istotnych zasad: jeżeli nie korzystamy z sieci bezprzewodowej, tylko ze złącza usb lub RJ45, całkowicie wyłączamy jej obsługę. Możemy to zrobić również w zakładce sieć bezprzewodowa. W okolicach mojej uczelni jest sporo niezabezpieczonych sieci, z domyślnymi danymi logowania... po zalogowaniu do panelu administracyjnego najczęściej okazuje się, że użytkownicy i tak łączą się po kablach, zaś wifi zostawiają włączone. Ponadto, gdy gdzieś wyjeżdżamy np. na kilka dni i nikogo nie ma w domu, wyłączamy z sieci elektrycznej i telefonicznej cały router/ap. Nie dość, że zabezpieczymy się od wypadków losowych, których gwarancja nie obejmuje (np. burza), to jeszcze zamkniemy dostęp do sieci niepowołanym osobom, które mogłyby próbować uzyskać do niej dostęp podczas naszej nieobecności. Ponadto warto upewnić się, czy w zakładce Narzędzia opcja zdalnej pomocy technicznej jest wyłączona – zapewnia ona możliwość dostępu do naszego panelu administracyjnego z sieci Internet i powinna być włączona tylko na prośbę pomocy technicznej, o ile oczywiście występują jakiekolwiek problemy i sprawę tę zgłaszamy do TP.

Niektórych może dziwić, że nie poruszyłem to w ogóle tematu wbudowanej w liveboxa zapory sieciowej. Sądzę jednak, że jest to rozwiązanie, które nie zapewni bezpieczeństwa naszym komputerom i musimy o tym pamiętać: dobrze zabezpieczona sieć jest ważna, ale jeszcze ważniejsze jest odpowiednie zabezpieczenie naszego systemu operacyjnego, a w tym wypadku wyspecjalizowane zapory (czy nawet zapora wbudowana w system, o czym pisałem wczoraj), spisują się znacznie lepiej. Poza tym korzystając z sieci wewnętrznej jaką tworzy Livebox znajdujemy się za NATem, bezpośrednio żaden z naszych komputerów nie jest więc wystawiony na atak.


Załączone pliki Miniatury
   
Odpowiedz
#2
lukasamd napisał(a):Niezbyt nowy tekst, ale ciągle aktualny - a ja ciągle mam u siebie Liveboxa w pierwszej wersji Grin

Ja też Grin
Nawet przy wymianie uszkodzonego livebox''a dostaniemy urządzenie starszego typu.
Nowsze urządzenie otrzymamy tylko wtedy gdy zerwiemy starą umowę i podpiszemy nową. Tak było kiedyś ale w tej kwestii chyba nic się nie zmieniło.
Poradnik spoko na pewno się komuś przyda Smile
Odpowiedz
#3
Bardzo dobry poradnik. Sam ostatnio kupiłem router. Osobiście ustawiłem tylko Szyfrowanie WPA2 AES. Z tego co widzę w bloku, to jest tu pełno sieci zabezpieczonych tylko filtrowaniem MAC. Dobrym sposobem jest też... Włączenie WiFi w trybie N, jeśli wszystkie urządzenia z których korzystamy je obsługują. Wszystkie WiFi w bloku są w technologii B lub G. Łapie jeszcze szkolne, które jest w technologii N ale ze starym szyfrowaniem WEP. Chyba informatycy nie zdają sobie sprawy, że złamanie krótkiego hasła na WEP to tylko kilkadziesiąt minutWall.
Odpowiedz
#4
W sumie jak masz filtrowanie MAC to wystarcza Tongue
Realtime: Sandboxie + Windows Firewall Control + NoVirusThanks EXE Radar Pro
Web browser: Firefox + Ghostery + NoScript
Password Manager: S10 Password Vault PL
Recovery: Rollback Rx
Odpowiedz
#5
Eru napisał(a):W sumie jak masz filtrowanie MAC to wystarcza Tongue


Samo filtrowanie MAC to słabe zabezpieczenie, bo można przechwycić pakiety, dowiedzieć się jakie są adresy MAC urządzeń w sieci i podszyć się pod nie.
Jeżeli do tego dołączamy szyfrowanie (WPA) to tak, będzie ok.
Odpowiedz
#6
Jeśli jest to np. sieć znajomego to co za problem pójść do niego i spisać numer MAC karty sieciowej Smile. Łatwo jest go zmienić, bez żadnego oprogramowania.
Odpowiedz
#7
Ta o ile pozwoli ci to zrobić - u mnie np nie miałbyś szans na taką czynność Tongue

Fakt filtrowanie MAC nie do końca może być uważane za bezpieczne, no ale lepiej używać i szyfrowania i filtrowania MAC Grin
Realtime: Sandboxie + Windows Firewall Control + NoVirusThanks EXE Radar Pro
Web browser: Firefox + Ghostery + NoScript
Password Manager: S10 Password Vault PL
Recovery: Rollback Rx
Odpowiedz
#8
Blade napisał(a):Nowsze urządzenie otrzymamy tylko wtedy gdy zerwiemy starą umowę i podpiszemy nową. Tak było kiedyś ale w tej kwestii chyba nic się nie zmieniło.


Jest jeden sposób. Na wniosek montera z tepsy o możliwość wymiany.

[Obrazek: 4512082Przechwytywanie.PNG]

Zrywało mi połączenie w weekendy, po telefonach po cichutku zmniejszyli mi stopniowo prędkość z 20 Mb/s do 13. Mogłem przejść co prawda na 10 Mb/s, zyskał bym na rachunku 5 zeta a nie jest powiedziane że problem by zniknął.
Przyszedł monter, zagadałem - napisał w zaleceniach o wymianę, zadzwonił o podniesienie prędkości i gitara. Na drugi dzień telefon na 800102102 okazało się że mogę iść wymienić.
Prędkość też wreszcie dali taką jaką powinna być i na razie wszystko chodzi ok.

[Obrazek: 31078122.PNG]

A wymienić warto:
Cytat: w module Wi-Fi nowego Liveboksa jest obsługa szyfrowania WPA/WPA2, które daje większe bezpieczeństwo połączenia bezprzewodowego niż stosowana w poprzednim modelu technologia WEP
Jest większą prędkość transmisji Wi-Fi punkt dostępowy w standardzie 802.11n. Przydatną nowością jest także funkcja WPS, która umożliwia łatwe połączenie komputerów z Liveboksem bez potrzeby wpisywania hasła zabezpieczającego. Wystarczy w momencie podłączania nowego urządzenia do bezprzewodowej sieci nacisnąć na specjalny przycisk, który znajdziemy na obudowie Liveboksa. Jest też funkcja serwera DLNA, która pozwala udostępniać pliki multimedialne urządzeniom obsługującym tę technologię, na przykład telewizorom, konsolom do gier czy sieciowym odtwarzaczom. Dzięki temu filmy czy zdjęcia zgromadzone na podłączonym do Liveboksa dysku zostaną automatycznie wykryte przez tego typu urządzenia i można je oglądać na dużym ekranie.
Odpowiedz
#9
slawektor napisał(a):Jest jeden sposób. Na wniosek montera z tepsy o możliwość wymiany.

U mnie to nie przejdzie bo nie mam się do czego ''Przyczepić''. Smile
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości