Zabezpečení WiFi - nováček
Prosím o radu. Používám bezdrátové připojení na net od svého poskytovatele (přes venkovní anténu do routeru). Chtěl jsem se zeptat jestli mohu nějak zabezpečit toto připojení. Četl jsem o zabezpečení Wifi několik článků, ale většinou jsou to jen suché teorie a nic praktického. Není nikde tzv. polopatický návod pro nováčka v oblasti Wifi, kde by bylo napsané jak se dostat do nastavení routeru, kde nastavit SSID, WEP ochrany atd.., případně jak poznám, že třeba poskytovatel už to nastavení udělal sám (i když tomu moc nevěřím). díky
Toto zabezpeceni neovlivnis. Bezpecnost je dana na strane pristupoveho bodu, tedy poskytovatele, ty jen musis tvojeho wifi klienta nastavit jak poskytovatel uvedl. Jakakoli zmena na tve strane by vedla k nefunkcnosti (nekompatibilite) spojeni. Pokud chces zabezpecit sva data, tak reseni je nekolik, ale jen jedno je realizovatelne pro novacka.
Uplneho zabezpeceni bys dosahl, kdybys veskere sve spojeni tuneloval pres VPN na nejaky svuj server v internetu a ten teprve pouzil jako vychozi bod, tim bys zabezpecil svou komunikaci pres wifi uplne, ale musel bys mit ten vpn server a mozna by to ovlivnilo i rychlost a odezvy na spojeni.
Druhou, pro tebe realizovatelnou, moznosti je chovat se, ze vsechno mimo tvuj router je verejny internet. To znamena se prizpusobit tomu, ze kdekoli na ceste muze kdokoli poslouchat (u wifi je to teda jeste sirsi problem, ale na kazdem routru a switchi, kterym tve pakety prochazi je teoreticky mozne tvou komunikaci sledovat). Pro dulezita spojeni (jakekoli prihlasovani, ruzny jiny choulostivy obsah) pouzivat zabezpecene kanaly. Primarne HTTPS pro webe sluzby, imaps, pop3s, smtps pro postu atd. atd. U ICQ je to ponekud problem, neb jejich provoz je uplne nezabezpeceny a zabezpecit nejde icq aplikaci.
díky,
šlo mě jen o to, že občas používám homebanking a ten je přes HTTPS tak by to mělo být v pohodě. Do nastavení routeru lézt nebudu abych něco nepokazil (a ani nevím jak se tam leze....)
asi tě zklamu, ale "jen" HTTPS rozhodně NENÍ v pohodě. Potenciální útočník totiž nemusí útočit přímo, ale např. pomocí útoku MITM (muž uprostřed) a v zásadě mu (například) stačí "otrávit" providerovu DNS cache nebo ARP tabulky, a tím přesměrovat veškerou tvou komunikaci na svůj PC, odkud ti bude vystavovat falešné HTTPS spojení a toto pak dále po "očenichání" a případně i změnách předávat na reálný server banky. Tohle samozřejmě hrozí i na ne-wifi sítích, ale tam je většinou útočník oddělen firewallem a navíc není ve stejné ethernetové síti, a tedy má daleko menší šance ovlivňovat připojené počítače.
Man in the middle utok je ale vzdy detekovan neplatnym/jinym certifikatem, nez bylo u predchoziho spojeni do banky. Takze si "jen" musi hlidat certifikat, pripadne upozorneni prohlizece, ze se pri pripojeni objevil certifikat jiny.