יתרונה של רשת אלחוטית היא הקלות שבה ניתן להתחבר אליה. יתרון זה מהווה חיסרון משום שהרשת חשופה להאזנה ולתקיפה. בגלל החיבור האלחוטי דרך האוויר, אין צורך בחיבור פיזי למחשב או להתקן רשת אחר כדי לחדור לרשת. גורם זר יכול לחדור לרשת בכל מקום שהתקשורת האלחוטית מגיעה אליו.
ברגע שהצליח להגיע לרשת ניתן להשתמש בשירותי האינטרנט, בחינם, לחדור למחשבים ברשת ולפגוע בקבצים או לגנוב מידע אישי.
הרגישות של רשת אלחוטית מצריכה הפעלה של תכונות אבטחה ושיטות כדי להגן על הרשת האלחוטית מהתקפות.
אחת הדרכים כדי לחדור לרשת היא דרך שם הרשת SSID
כל המחשבים המחוברים לרשת האלחוטית צריכים את ה- SSID. בהגדרת ברירת המחדל הראוטרים האלחוטיים משדרים את ה- SSID באוויר לכל מי שנמצא בטווח קליטה ואז ניתן "לראות" את נקודות הגישה הנמצאות.
עם זאת ניתן לכבות את שידור ה- SSID וכך הוא יהיה מוסתר, בצורה זאת לא יהיה ניתן להתחבר בצורה פשוטה לרשת. אם נרצה להתחבר נצטרך לקבוע ידנית את ה- SSID עבור כל מארח.
בנוסף, חשוב לשנות את ההגדרות הבסיסיות של היצרן, משום שהן ידועות לכל. נתונים כגון: SSID, סיסמה, כתובת IP וכו'. נתונים אלו מקלים על פריצה לרשת. ראוי לציין שאפילו אם ה- SSID אינו משודר באוויר, ניתן לחדור לרשת באמצעות SSID ידוע.
כמו כן אם לא שינינו סיסמה או כתובת IP של הנתב, ניתן לגשת לראוטר ולבצע שינויים.
למרות מאמצים אלו קיימים אמצעים אשר בעזרתם ניתן "להאזין" לתקשורת אלחוטית.
גם כאשר נכבה את שידור SSID ונשנה את הפרמטרים הראשוניים עדיין ניתן למצוא את שם ונתוני הרשת באמצעות תוכנה פשוטה.
כדי להגן על הרשת יש להשתמש בשילוב שיטות.
הגבלת גישה ל-WLAN
ניתן להגביל גישה לרשת ע"י סינון כתובות ה-MAC ומתן הרשאת גישה למארחים מסוימים בלבד ע"פ כתובת זו.
כאשר משתמש אלחוטי מתחבר ל-AP הוא שולח את כתובת ה- MAC שלו. כתובת זו מושווית לטבלה המוגדרת מראש וכוללת את כל כתובות ה-MAC שלהן יש גישה לרשת. ורק כתובת מורשית תתחבר לרשת.
בשיטת עבודה זו יש להכין מראש טבלה של כתובות MAC של כל המארחים בעלי ההרשאה. מי שלא בטבלה לא יתחבר. – זו נקראת רשימה לבנה – כל הרשומים בטבלה מותרי גישה. [יש גם אפשרות לרשימה שחורה – שבה כל מי שברשימה אסור לגישה וכל מי שלא כתוב מותר].
[למרות זאת גם זה לא מכסה אותנו, מכיוון יש אפשרות להתחבר ע"י מחשב זדוני דרך אביזר אשר כתובת ה- MAC שלו מאושרת להתחברות, או לזייף (spoof) את כתובת ה- MAC].
דרך נוספת להגבלת גישה היא:
זיהוי משתמש, Authentication
זיהוי משתמש הוא תהליך הרשאת כניסה המתבסס על סדרה של קריטריונים, הוא משמש להבטחה שהאביזר אשר מנסה להתחבר לרשת הוא אמין.
הצורות המקובלות לזיהוי משתמש הן: שם משתמש + סיסמה.
בתקשורת אלחוטית (בשונה מתקשורת קווית) זיהוי המשתמש צריך להיעשות לפני שמאשרים ללקוח להיכנס לרשת.
ישנן שלוש שיטות לזיהוי משתמש:
- Open authentication.
- PSK.
- EAP.
זיהוי פתוחOpen Authentication
בצורת עבודה זו:
- לא מזהים את המשתמשים.
- כל המארחים יכולים להתחבר לרשת.
- שימושי ברשתות ציבוריות כמו: מסעדות, בית ספר וכו'.
- ניתן לבצע זיהוי משתמש בדרכים אחרות לאחר הכניסה לרשת.
מפתח משותף Pre-shared keys – PSK
בשיטה זו, ללקוח ול-AP יש מפתח משותף (מילה סודית). ה-AP שולח ללקוח מילה אקראית כלשהיא. הלקוח מצפין את המילה שקיבל עם המפתח (המילה הסודית) ומחזיר ל-AP. ה-AP מפענח את השדר המוצפן ובודק האם זו המילה ששלח. אם כן יש אישור ללקוח להתחבר לרשת.
זוהי בדיקה חד-כיוונית: רק הלקוח מזדהה אצל ה-AP ולא להפך. (וגם… הזיהוי הוא של המארח ולא המשתמש).
אימות בר הרחבהExtensible Authentication Protocol – EAP
שיטה זו יוצרת זיהוי דו-כיווני וגם זיהוי המשתמש. בשיטה זו הלקוח מבצע זיהוי מול שרת חיצוני. השרת מכיל את פרטי הזיהוי של כל המורשים לרשת. המשתמש ולא המארח מזדהה מול השרת ע"י שם משתמש וסיסמה. אם השרת מאשר את הזיהוי אזי הלקוח יכול להתחבר לרשת.
כאשר משלבים את שתי הדרכים:
- א. זיהוי כתובת MAC.
- ב. זיהוי משתמש (משיטה כלשהיא).
אז, מתבצע קודם זיהוי המשתמש ורק אח"כ ה-AP בודק את כתובת ה- MAC.
הצפנה
זיהו משתמש וסינון כתובות MAC, ימנעו מהתחברות לרשת אולם, לא ימנעו האזנה למידע המשודר באוויר.
הצפנה היא דרך לשנות את המידע המשודר כך שהמאזין לא יוכל להבין את השידורים.
Wired Equivalency Protocol – WEP
WEP הוא תהליך הצפנה של מידע הרשת המשודר באוויר. WEP משתמש במפתחות הצפנה קבועים מראש להצפנה ופיענוח המידע. מפתח ההצפנה מוכנס כרצף של אותיות וספרות ובד"כ באורך של:64 או128 ביטים (גם 256 ביט במקרים מסוימים). כדי לתקשר, ה-AP וכל ההתקנים האלחוטיים חייבים להכיל את אותו מפתח הצפנה.
חיסרון ה-WEP : מפתח ההצפנה הוא קבוע.
ישנם כלים (הניתנים להורדה באינטרנט) בעזרתם ניתן לגלות את מפתח ההצפנה. דרך המידע המשודר. ברגע שפוענח מפתח ההצפנה, ניתן בעזרתו להאזין לכל המידע המשודר. אחת הדרכים להתגבר על כך היא: להחליף את מפתח ההצפנה לעיתים קרובות.
Wi-Fi Protected Access – WPA
תהליך הצפנה המשתמש במפתחות באורך: 64-256 ביט. אך בשונה מ- WEP מייצר מפתח הצפנה חדש בכל פעם שנוצרת תקשורת בין הלקוח ל- AP. דבר זה מקשה על פיצוח מפתח ההצפנה. בגלל הסיבה הזו WPA נחשב לבטוח יותר.
יש גם WPA2 – Wi-Fi Protected Access 2 ממשיך ומשפר את גרסה 1, ו- WPA3 ממשיכו של גרסה 2.
סינון תוכן
בנוסף, ישנה אפשרות לסנן ולחסום תקשורת לא רצויה ע"י ה-AP כאשר התקשורת עוברת דרכה.
- ניתן לחסום תקשורת מ/אל כתובתMAC מסוימת.
- ניתן לחסום תקשורת מ/אל כתובת IPמסוימת.
- ניתן לחסום אפליקציות מסוימות ע"י מספר פורט.
למשל ניתן למנוע תקשורת telnet (שליטה מרחוק) לציוד חיוני.
כמו מניעת תקשורת לשרת זיהוי משתמש. כך ניתן למנוע חדירה לשרת זה.
הגדרות נוספות
ישנם סוגים שונים של ראוטרים אלחוטיים, ישנם פשוטים וישנם מורכבים. המורכבים מכילים פונקציות נוספות למשל:
- הגדרת זמני גלישה מותרים. (בקרת הורים).
- חסימת ואפשור גלישה על פי כתובות אתרים או על פי מילות סינון. (בקרת הורים).
- ניהול מרוחק של הראוטר באמצעות מחשב או אפליקציה.
סיכום התקנה ואבטחה ל-AP
לפני שמחברים AP לרשת או לאינטרנט חשוב לבצע:
- שינוי הגדרות ראשוניות ל- SSID, שם משתמש וסיסמה.
- מניעת שידור באוויר של SSID.
- קביעת הצפנה WEP או WPA.
- קביעת סינון התעבורה.
- קביעת סינון לכתובות MAC.
- קביעת זיהוי משתמש.
זכרו: פעולת הגנה אחת לא מספיקה כדי להגן על הרשת האלחוטית.
כדי לחזק את אבטחת הרשת יש לשלב מספר פעולות.
כאשר מגדירים לקוח, חשוב שה- SSID יהיה תואם לזה שמוגדר ב- AP.
בנוסף צריכים להיות תואמים גם מפתחות הצפנה וזיהוי.
DMZ – אזור מפורז
DMZ או באריכות: Demilitarized Zone זהו אזור ברשת שיש אליו גישה מהאינטרנט (בדרך כלל קיים ברשתות גדולות – של ארגונים וחברות גדולות).
אזור זה צריך להיות מנותק מהרשת הפנימית של הארגון מטעמי אבטחה. באזור זה יכולים להיות שרתים שונים של הארגון שצריך להיות להם גישה מהאינטרנט כמו שרת MAIL שרת HTTP ועוד.
כמו כן בראוטרים ביתיים DMZ יכול להיחשב כמצב שבו "פותחים פורטים" כלומר מאפשרים רק לפורטי כניסה מסוימים להיות פתוחים לגישה מהאינטרנט. הרכיב שמגדיר את ה- DMZ הוא הראוטר.