Jak si udělat bezdrátovou síť a jak ji zabezpečit
Koupili jste, nebo plánujete koupit wifi zařízení a hledáte způsob jak jej zprovoznit? Tento článek se vám pokusí pomoci.
V poslední době (hlavně po Vánocích) se na Poradně množí dotazy, jak nakonfigurovat bezdrátovou síť. V tomto článku bych se rád věnoval "polopatickému" nastavení bezdrátové sítě (s jen velmi krátkým teoretickým vysvětlením těch nejdůležitějších bodů), které vám zajistí, že Vaše síť bude funkční a bezpečná.
1. Potřebný hardware - pro ty, kteří napřed hledají co si mají zakoupit
S ohledem na stav (existence nebo naopak neexistence) vaší lokální sítě (dále jen LAN) je třeba nejprve určit, jaký aktivní síťový prvek budeme potřebovat - zda prostý Access Point (zkráceně AP; česky přístupový bod) nebo Router (česky Směrovač).
Obecně vzato, typická dnešní domácnost je připojena nějakým broadband (širokopásmovým) připojením, např. DSL, různé bezdráty nebo optickým vláknem. Pokud máte doma jen jedno PC a síťový kabel vede přímo z poskytovatelova zařízení (kterým může být např. wifi klient na půdě, optický převodník apod.), pak v takovém případě nemáte vlastní LAN síť a potřebujete router (který vám umožní připojit vícero PC, ať už drátově nebo bezdrátově). Výjimkou z tohoto pravidla je DSL připojení, které už samo o sobě v DSL zařízení obsahuje router (pokud nevlastníte předpotopní USB DSL modem). Pokud vám již doma leží nějaká "krabička" s mnoha (typicky čtyřmi) ethernetovými porty , pak již router (a tudíž i LAN síť) máte, a pro wifi vám postačuje zakoupit AP.
Jako doporučení pro jednotlivé typy zařízení bych si dovolil uvést:
WIFI ROUTERY: Asus WL-520gC nebo TP-Link TL-WR542G (nebo TL-WR543G), přičemž Asus podporuje i alternativní a vysoce stabilní firmware DD-WRT (který poskytuje další rozšířené a sofistikované funkce a je zcela zdarma)
AP: OvisLink WL-5460AP (stará dobrá "klasika" s možností změny firmware na alternativní), nebo TP-Link TL-WA501G
Na závěr této kapitoly bych uvedl grafickou rekapitulaci předchozího:
2. Prvotní konfigurace nového zařízení v LAN
Zde se postup opět liší, podle toho, zda jste se vydali cestou routeru nebo AP. Předem všechny varuji před používáním různých "instalátorů", "průvodců" a "EZ-setupů" - jejich použití vede spíše ke zmatení a nefunkčnosti, než k jednoduchému a funkčnímu nastavení sítě. Prvotní konfigurace se vždy provádí pomocí "pevného" ethernetového připojení, nikdy pomocí wifi.
Nejprve probereme Wifi Router, jehož nastavení bude jednodušší.
2.1 Wifi Router
Router už ze své podstaty de facto vytváří samotnou LAN, jeho konfigurace tedy bude velmi přímočará. Prakticky postačuje správně nastavit WAN rozhraní, LAN síť funguje prakticky okamžitě po zapnutí, už z továrního nastavení. Pokud jste měli v PC nastavenou pevnou IP adresu, pečlivě si poznamenejte všechny údaje (tj. VŽDY pár IP adresa - hodnota, maska - hodnota, brána - hodnota, DNS servery - hodnoty), tak abyste byli vždy schopni rekonstruovat původní stav v případě potřeby. V některých případech některých poskytovatelů, je třeba použít tunelového připojení (L2TP, PPPoE) - v takových případech si poznačte/zjistěte všechny ostatní informace, tj. jméno/heslo, případně další informace. Následně přepněte rozhraní do režimu DHCP klienta (tj. nastavte "automatické získání adresy") a připojte počítač k routeru do jednoho z LAN portů.
Linku od poskytovatele připojte do WAN portu a ještě jednou se ubezpečte, že se jedná o ethernet, a nikoliv telefonní linku - o tento vražedný pokus se zhusta pokoušejí uživatelé DSL linek, kteří při "velkém štěstí" mohou "brnknutím" malého konektoru o ethernetové kontakty "usmažit" WAN port routeru - v telefonním vedení je napětí 60V... (už jsem několikrát takový výsledek viděl v praxi )
Nyní se připojte prohlížečem internetu (Firefox, Opera, IE apod.) na výchozí IP adresu routeru, v drtivé většině to bude IP adresa 192.168.1.1 (správnou adresu najdete na nálepce routeru, v manuálu nebo PDF dokumentu na CD, případně výpisem příkazu ipconfig, kde IP routeru je skryto pod adresou brány), některé routery používají adresu 192.168.2.1. Pomocí webového průvodce nebo ručně nakonfigurujte WAN rozhraní podle původního nastavení Vašeho PC - v drtivé většině případů bude nastavení rovněž na "automaticky" z DHCP, někteří ISP poskytují pouze pevnou IP adresu, v takovém případě přepište informace, které jste si poznačili ze síťového adaptéru Vašeho PC. Konfiguraci uložte a router pro jistotu restartujte. Po restartu routeru byste měli být schopni přistupovat k internetu. Pokud tomu tak není, použijte následující články k tomu, abyste zjistili, kde se stala chyba:
Jak diagnostikujeme a řešíme problémy se síťovými připojeními - díl I., TCP/IP stack
Jak diagnostikujeme a řešíme problémy se síťovými připojeními - díl II., routing (směrování)
Jak diagnostikujeme a řešíme problémy se síťovými připojeními - díl III. - DNS
Tímto je základní konfigurace routeru dokončena, a Vy můžete přejít ke konfiguraci bezdrátové části, které se budeme věnovat v kapitole 3.
2.2 Konfigurace AP
Konfigurace samostatného AP je v něčem složitější, v něčem zase jednodušší. Protože už vlastníte existující LAN síť, je potřeba nové AP zařadit do této stávající sítě.
Nové AP, má, stejně jako router, v drtivé většině případů přednastavenou IP adresu, která ovšem velmi často koliduje nebo zcela nesouhlasí s IP adresami používanými ve Vaší LAN. V takovém případě je potřeba nejprve nastavit správnou IP adresu. To provedeme tak, že z dokumentace zjistíme, jak je AP nastaveno z výroby. Pokud má integrovaný DHCP server, je to velmi jednoduché - připojíme se s počítačem síťovým kabelem napřímo k AP a necháme si přidělit IP adresu, v opačném případě je nutno IP adresu nastavit ručně na nějakou nekolidující z IP rozdahu ve kterém je i IP adresa AP. Nyní je třeba připojit se do webového rozhraní AP (např. Ovislink má IP adresu všech AP nastavenu na 192.168.100.252), vypnout DHCP server a nastavit IP adresu AP na adresu z rozsahu naší LAN (např. 192.168.1.250), nebo nastavit IP adresu na automatické získání z DHCP serveru. Zde je třeba jisté opatrnosti. Je nutno vyhnout se dvěma fatálním situacím:
- možnosti, že v LAN jsou aktivní dva DHCP servery
- možnosti, že DHCP server v routeru přidělí jinému PC v síti stejnou IP adresu, jakou už má "natvrdo" nastaven AP
První nebezpečí lze eliminovat vypnutím jednoho z DHCP serverů, ideální je ponechat DHCP server v routeru. Eliminace druhého nebezpečí už tak triviální není, je nutno zvolit jeden ze dvou scénářů: první, jednodušší na nastavení (zato horší na spravování) je nechat IP adresu pro AP přidělit DHCP serverem z routeru. Výhoda je, že i při změně sítě bude AP jednoduše dosažitelné, nevýhoda tkví v tom, že DHCP může (ale nemusí) APčku pokaždé přiřadit zcela jinou adresu, a tedy dosažení administračního rozhraní APčka v budoucnu nemusí být jednoduchou záležitostí. Z tohoto ohledu je více než vhodné, aby byla pro AP v routeru vytvořena tzv. DHCP rezervace, tedy napevno určená MAC adresa (opsaná z AP), která za každých okolností obdrží stejnou IP adresu. Druhá varianta počítá s faktem, že většina DHCP serverů přiděluje IP adresy ve vzestupném pořadí, tedy postupně přiděluje adresy .2 , .3, .4 atd. - pak postačuje APčku určit IP adresu dostatečně vysoko (např. adresa 192.168.1.250). Dvaapůltá varianta je, že některé routery neposkytují DHCP rozsah pro celý IP rozsah, ale pouze část (nebo lze tento rozsah určit v menu routeru, např. rozsah adres 100 až 254) - pak lze nastavit IP adresu "natvrdo" mimo tento rozsah relativně bezpečně.
Tím máme dokončenu IP konfiguraci zařízení a budeme pokračovat kapitolou 3.
3. Konfigurace wifi rozhraní
A konečně jdeme do finále a budeme se věnovat samotné konfiguraci wifi. Než se do toho pustíme, rád bych probral jednu zásadní otázku, a tou je bezpečnost.
3.1 Co je bezpečné a co je nebezpečné?
Hned zkraje si nalijeme čistého vína: žádná bezdrátová komunikace není a nemůže být stejně bezpečná jako komunikace "po kabelu". Tím důvodem je to, že k odposlechu bezdrátové komunikace vám stačí dvě věci: být v dosahu signálu a mít anténu a zařízení, které dokáže signál přijímat; oproti tomu u "drátu" je potřeba fyzicky narušit datové vedení, což je např. v budově o dost zásadnější problém. V případě wifi je obojí bez problémů splnitelné a dosažitelné. A případný útočník se tak okamžitě ocitá za Vaším firewallem, ve Vaší LAN. Z tohoto důvodu je více než vhodné komunikaci v bezdrátové části Vaší LAN šifrovat.
Důvody pro šifrování jsou dva:
- znemožnit útočníkovi odposlech komunikace (mj. hesla, hashe hesel, jakož i další důležité informace)
- znemožnit útočníkovi připojení do takové sítě.
Během vývoje se u wifi sítí vyvinulo několik šifrovacích metod a standardů:
- WEP 64/128/256bitů - silné šifrování pomocí metody RC4 (běžnými prostředky "nerozlousknutelná"), nicméně díky chybě v návrhu protokolu (omezený počet tzv. inicializačních vektorů (IV)) je možno toto šifrování pomocí specifického útoku prolomit do několika minut, nezávisle na délce šifrovacího klíče
- WPA (Wireless (nebo Wifi) Protected Access) - v podstatě "opravený" WEP, použit je opět algoritmus RC4, nicméně chyba v IV je odstraněna, tudíž se jedná o bezpečné šifrování - dodnes není znám funkční útok s výjimkou útoku hrubou silou, respektive slovníkovým útokem. V poslední době se objevily modely přístrojů s "pre-WPA2" šifrováním, které místo RC4 používají AES, které je ještě řádově bezpečnější. Takové šifrování se označuje jako WPA-AES. Problém je v tom, že ne všechny operační systémy toto šifrování podporují, pak je na tahu výrobce bezdrátové karty.
- WPA2 - finální verze WPA s AES a ještě dalšími, pro domácí použití nevýznamnými vlastnostmi. Výše napsané platí bezezbytku i zde.
Prosím berte na vědomí, že filtrování podle MAC adres a jiné "bezpečnostní" opatření, jako vypínání vysílání SSID nebo vypnutí DHCP útočníky opravdu nezastaví!! Jediným opravdu účinným opatřením proti útoku na bezdrátovou síť je WPA a vyšší!
3.2 Základní pravidla konfigurace a provozu
Pro následný bezproblémový provoz Wifi sítě byste měli dodržet následující pravidla:
- síť dostatečně dobře zabezpečit
- zvolíme jméno sítě (SSID) - ideální jméno je takové, které nijak neukazuje, kdo síť provozuje a ani z něj nelze odhadnout heslo pro šifrování.
- najít si předem volný kanál, ideálně takový, který má kolem sebe (tedy z obou stran) ještě alespoň jeden kanál volný
- najít pro umístění antény co nejlepší umístění, které přesně pokrývá oblast, ve které budete chtít signál používat (např. v bytě je ideální umístění někde okolo geometrického středu bytu)
- AP/router mít co nejblíže anténě, aby vedení VF signálu bylo co nejkratší
- výkon VF části zbytečně nezvyšujte, naopak, pokud máte dobrý signál všude kde potřebujete, je více než vhodné výkon snižovat
3.3 Nastavení wifi krok za krokem
Nyní, po "teoretickém úvodu" nastavíme náš bezdrát:
1. připojíme se do webového rozhraní APčka/routeru
2. zvolíme konfiguraci WLAN
3. vyplníme SSID (u některých AP/routerů je mezi jednotlivými kroky nutné provádět restart)
4. zvolíme (menu) zabezpečení, zde zvolíme šifrování WPA-PSK (někde se označuje jako WPA-TKIP *) vysvětlení níže)
5. zapíšeme heslo pro šifrování. Heslo by mělo mít minimálně 8 znaků, mělo by obsahovat velká a malá písmena, číslice i interpunkční znaménka (znaky jako !?&%% apod.). Heslo by se nemělo nacházet v jakémkoli myslitelném slovníku, ideální je náhodný shluk znaků. Uvědomte si prosím, že toto heslo nebudete zadávat každý den, proto může být klidně dlouhé a velmi bezpečné, ale ze stejného důvodu si jej velmi dobře poznačte!
6. restartujeme AP/router
7. otestujeme pomocí počítače s wifi kartou spojení, zda se síť hlásí jako zabezpečená pomocí WPA a zda je se správným SSID (jménem)
Pokud vše funguje, blahopřeji, máte bezpečnou bezdrátovou síť.
*) WPA-PSK je režim šifrování, kdy heslo je "napevno" vloženo do všech komunikujících zařízení. Tento režim byl vymyšlen speciálně pro domácnosti, které nedisponují pokročilými autentikačními mechanismy jako je např. RADIUS server. WPA podporuje i autentikaci pomocí RADIUS serveru, tento způsob distrubuce šifrovacích klíčů je ovšem vázán na další síťovou infrastrukturu a v domácnostech se prakticky nepoužívá - má smysl jen u velkých sítí, kde by distribuce statického hesla byla velmi obtížná, nebo prakticky nemyslitelná.
4. Co byste měli čas od času kontrolovat?
Dobrým zvykem je čas od času provádět následující činnosti:
- aktualizace firmware všech wifi zařízení (odstraňování případných chyb)
- aktualizace driverů a firmware všech klientských adaptérů (v PC, noteboocích, síťových wifi zařízeních)
- aktualizace OS (dneska minimálně WinXP SP2, lépe SP3, Vista SP1, Linux aktuální jádro a wireless-tools nebo WPA-supplicant, pokud je použit)
- sledovat, zda použité šifrování je ještě stále bezpečné, zda nebyl v mezičase vyvinut nový útok obcházející nasazené zabezpečení
- projít si seznam počítačů a osob, které mají/znají aktuální heslo a případně provést změnu hesla
5. Závěr
Doufám, že vám můj článek pomohl pochopit úskalí bezdrátových sítí - snažil jsem se o co největší konkrétnost rad v článku a o to, aby byl užitečný začínajícím adminům bezdrátových sítí. Máte-li tipy na dobré AP/routery, nebo naopak špatné zkušenosti s některými modely, podělte se o ně v diskuzi - děkuji.