Droša mājas bezvadu tīkla konfigurācija

Vienā no iepriekšējiem Līvas Lāces rakstiem „Kā lietot bezvadu internetu mājās?” tiek uzsvērtas pašas būtiskākās lietas, kas nepieciešamas, lai nodrošinātu sava mājas bezvadu tīkla zināma līmeņa aizsardzību, neatstātu to viegli pieejamu un lietojamu ikvienam nevēlamam garāmgājējam vai kaimiņam. Ja kāds, tikko iegādājoties un pārnesot mājās jaunu bezvadu maršrutētāju, ir pieķēris sevi pie domas „kādēļ gan būtu jālasa tā nesaprotamā instrukcijas grāmatiņa un jāmokās ar konfigurēšanu, ja saslēdzot vadus viss taču sāk strādāt?”, tad šis raksts ir tieši veltīts jums, kā arī ikvienam, kurš aizdomājas par to vai, veicot sava mājas bezvadu maršrutētāja konfigurāciju, ir to darījis ņemot vērā galvenās pamatprasības. Šajā rakstā izskaidrojam svarīgāko, kā arī, lai uzskatāmi parādītu un uzsvērtu šeit aprakstītos galvenos bezvadu tīkla drošas konfigurācijas iestatījumus, piedāvājam ilustrētas konfigurācijas instrukcijas šādiem bezvadu maršrutētājiem: Eksistē vairāki paņēmieni, kā nodrošināt bezvadu tīklam zināma līmeņa aizsardzību, daži ietver papildus drošības iestatījumus un piekļuves ierobežojumus, bet citi no tiem ir tehniski sarežģītāki un to ieviešanai ir nepieciešamas papildus iekārtas un servisi. Taču galvenās pamatlietas visos ir vienādas:

1. Maršrutētāja aparāt programmatūras (firmware) atjaunošana

Tāpat kā jebkurai citai programmatūrai, arī bezvadu maršrutētāja programmnodrošinājumam var eksistēt zināmi un nezināmi drošības caurumi, un neapzinātu kļūdu dēļ – pat darbības stabilitātes vai funkcionalitātes ierobežojumi. Lai nodrošinātu produkta iespējami kvalitatīvu darbību un atklāto kļūdu novēršanu, ražotājs ar noteiktu regularitāti veic programmnodrošinājuma jaunu versiju izstrādi un to publicēšanu savā Internet mājaslapā. Lielākoties jaunākā programmnodrošinājuma versijas novērš apzinātās drošības kļūdas, iespējamos darbības traucējumus kā arī var ieviest papildus aizsardzības un paplašinātas funkcionalitātes iespējas. Atkarībā no maršrutētāja modeļa un tā programmnodrošinājuma, atjaunošanas process var būt vienkāršāks vai sarežģītāks. Taču galvenokārt tas nozīmē bezvadu maršrutētāja programmnodrošinājuma esošās versijas noskaidrošanu un jaunas versijas atrašanu ražotāja Internet mājaslapā, atbilstošajam iekārtas modelim.

2. Bezvadu maršrutētāja administratīvās piekļuves paroles nomaiņa

Bezvadu maršrutētāja ražotāja iestatītā noklusētā administratīvās piekļuves parole ir atrodama iekārtas konfigurācijas instrukcijā, iekārtas ražotāja Internet mājaslapā un neskaitāmos citos brīvi pieejamos Internet resursos. Tas nozīmē, ka bezvadu maršrutētāja administratīvā parole jau ir zināma un brīvi atrodama publiskās Internet vietnēs, jau pirms tas ir izņemts no iepakojuma. Saslēdzot un atstājot bezvadu maršrutētāju ar nenomainītu noklusēto administratīvās piekļuves paroli, iekārta tiek atstāta potenciāli ievainojama mērķētam vai automatizētam uzbrukumam ar mērķi pārņemt tās vadību vai mainīt tās darbības parametrus, lai izmantotu to iespējamām savtīgām vai ļaundabīgām darbībām. Būtiski ir parūpēties par savlaicīgu administratīvās piekļuves paroles nomaiņu, nomainot to uz labu, pietiekoši sarežģītu un tikai maršrutētāja īpašniekam zināmu. Labu paroli tiek rekomendēts veidot, ņemot vērā vismaz šādus nosacījumus: izvēloties to vismaz 12 simbolu garu, iekļaujot tajā lielos burtus, mazos burtus un ciparus. Laba un gara parole ne vienmēr nozīmē grūti iegaumējamu vai ievadāmu. Piemēram, parole – GaraBezvaduParoleArCipariem1234, ir viegli iegaumējama un ievadāma, bet ļoti būtiski apgrūtina tās tīšu vai automatizētu uzminēšanu. Paroles nomaiņa vairākumā gadījumu ir ļoti vienkārša un parasti tās nomaiņa tiek pieprasīta pirmajā pieslēgšanās reizē pie iekārtas administratīvās saskarnes. Ja noklusētās paroles nomaiņa netiek automātiski piedāvāta, tad to veic caur administratīvās saskarnes piekļuves konfigurācijas izvēlnēm.

 3. Bezvadu tīkla parametru iestatīšana, aizsardzība un savienojuma šifrēšana

Nemazāk svarīga ir arī paša bezvadu tīkla piekļuves ierobežošana, lai pēc iespējas to pasargātu pret nesankcionētu pieslēgšanos vai „pa gaisu” pārraidāmās informācijas pārtveršanu. Tas tiek nodrošināts, uzstādot bezvadu tīkla piekļuves paroli, bezvadu drošības protokolu un datu pārraides šifrēšanu. Parole arī šinī gadījumā tiek veidota pēc līdzīgām rekomendācijām, kā veidojot administratīvās piekļuves paroli. Bezvadu tīkla parole tiek lietota kā sava tīkla piekļuves atslēga un tai būtu jābūt zināmai tikai tām personām, kurām ir dota atļauja piekļūt šim tīklam. Neizmantojiet vienu un to pašu paroli gan administratīvajai piekļuvei, gan bezvadu tīklam – tām ir jābūt atšķirīgām! Tā kā bezvadu sakari tiek nodrošināti pārraidot informāciju telpā „pa gaisu”, tad tā ir ikvienam brīvi pieejama uztveršanai. Lai pasargātu pārraidāmo informāciju pret tās nesankcionētu lasīšanu, tā tiek pārraidīta lietojot pēc iespējas drošus bezvadu tīkla piekļuves un informācijas šifrēšanas protokolus. Mājas bezvadu tīklam tiek rekomendēts lietot WPA2 (Wi-Fi Protected Access II) piekļuves drošības protokolu un AES (Advanced Encryption Standard) datu šifrēšanas standartu. Šos iestatījumus konfigurē piekļūstot no bezvadu maršrutētāja administratīvās saskarnes bezvadu drošības sadaļā. Konfigurējot bezvadu tīkla parametrus, ir jāveic paša bezvadu tīkla nosaukuma (SSID) nomaiņa. Tīkla nosaukums tiek pielietots arī bezvadu tīkla piekļuves paroles šifrētai apmaiņai, un tā nomaiņa ievērojami sarežģī paroles iespējamu atminēšanu gadījumos, kad tiek pārtverta tīkla autentifikācijas informācija. Kā arī brīdī, kad tiek veidots savienojums ar bezvadu tīklu – to būtu vienkāršāk identificēt pēc lietotājam zināma nosaukuma.

4. Ugunsmūra aizsardzības iestatīšana

Bezvadu maršrutētājs ir iekārta, kas atrodas uz robežas starp privāto mājas bezvadu tīklu un publiski pieejamo Internet tīklu. Tādēļ tai tiek uzdots svarīgs papildus pienākums regulēt, kādi datu savienojumi no ārējiem tīkliem (Internet) ir atļauti uz iekšējo lokālo tīklu. Lai mājas lokālais tīkls un bezvadu maršrutētājs tiktu noteiktā līmenī pasargāts pret nevēlamiem un potenciāli bīstamiem ārējiem datu savienojumiem, tiek lietots ugunsmūris, kura uzdevums ir pārbaudīt ienākošos savienojumus un bloķēt nevēlamos, kuri neatbilst noteiktām prasībām. Lielākoties bezvadu maršrutētājiem ugunsmūra funkcionalitāte ir pieejama un parasti tā ir ieslēgta ar noklusētajiem optimālajiem iestatījumiem. Svarīgi, pieslēdzoties pie maršrutētāja administratīvās saskarnes, būtu pārliecināties, ka ugunsmūris ir pieejams un tas ir ieslēgts.

5. Maršrutētāja konfigurācijas saglabāšana

Kad bezvadu maršrutētāja un tā bezvadu tīkla konfigurācija ir pabeigta, svarīgi ir šīs konfigurācijas rezerves kopiju saglabāt. Lai gadījumos, kad var notikt iekārtas konfigurācijas zaudēšana, nenāktos visus iestatījumus vadīt atkārtoti ar roku – tos varēs atjaunot no pēdējās korektās un funkcionālās konfigurācijas rezerves kopijas. Kā daži no gadījumiem, kuros var tikt zaudēta iekārtas konfigurācija ir programmnodrošinājuma atjaunošanas veikšana, ar elektroapgādi saistītas problēmas, kā arī citi neparedzēti apstākļi, kuru rezultātā tiek dzēsta iekārtas konfigurācija, bet bojājumi pašai iekārtai vai tās programmnodrošinājumam nav radīti. Pamatā visi bezvadu maršrutētāji atbalsta iekārtas konfigurācijas faila saglabāšanu uz lietotāja norādītā datu nesēja.