Do zabezpieczania sieci bezprzewodowych najlepiej mogą zachęcić praktyczne przykłady tego, co cyberwłamywacze są w stanie bez specjalnego wysiłku przechwycić z niezaszyfrowanej sieci Wi-Fi. Jest to też sposób, żeby pokazać, kiedy szyfrowanie jest potrzebne.
Przyjrzymy się kilku różnym usługom i rodzajom komunikacji sieciowej, które są podatne na przechwytywanie i łatwo je odczytać. Wyjaśnimy również, jak zabezpieczyć te usługi. Omawiane przykłady dotyczą przede wszystkim korzystania z niezabezpieczonych punktów dostępowych, prywatnych i publicznych. Mimo że w przypadku firmowych sieci występują te same podatności, włączenie szyfrowania WPA lub WPA2 ukrywa całą komunikację przed potencjalnym włamywaczem. Dlatego upewnij się, że Twoja sieć Wi-Fi używa szyfrowania.
Odwiedzane strony internetowe
Najpierw przyjrzymy się najprostszej usłudze – połączeniom HTTP, czyli komunikacji pomiędzy przeglądarką internetową, a serwerem WWW. Podsłuchiwacz może podejrzeć, jakie strony WWW odwiedzasz – adresy IP są wyszczególnione w przesyłanych pakietów. Aczkolwiek, metoda ich wydobywania jest dość toporna. Sniffer, np. bezpłatny Wireshark, przechwytuje adresy razem z kodem HTML, PHP i innymi elementami strony WWW.
Jeśli włamywacz chce ułatwić sobie zadanie, możesz wykorzystać bardziej zaawansowany sniffer, który przechwytuje pakiety oraz interpretuje przechwycone pliki i kod. W ten sposób można nie tylko sprawdzić adres strony, ale także od razu ją podejrzeć. Zwróć uwagę, że włamywacz widzi te same dane, co ty. Może je także zapisać, np. wybrane dokumenty czy obrazy.
Natomiast w przypadku połączeń zabezpieczonych szyfrowaniem dane są zakodowane i trudne do odczytania. Jeśli korzystasz z banku internetowego czy kupujesz coś w e-sklepie, płacąc kartą kredytową, połączenie między komputerem, a serwerem WWW jest z reguły zaszyfrowane niezależnie od ustawień Twojej sieci. W przypadku takich serwisów internetowych stosuje się protokół SSL, którego działanie rozpoznasz po adresie URL – będzie się on rozpoczynał od HTTPS, a nie od HTTP. Ponadto przeglądarka wyświetli symbol zamkniętej kłódki, informując, że połączenie jest zabezpieczone.
Nie musisz się przejmować niezabezpieczonymi stronami WWW, jeśli Twoja sieć Wi-Fi ma włączone szyfrowanie WPA lub WP2. Jednakże w sieciach publicznych, jeśli chcesz zabezpieczać połączenia z niechronionymi stronami, należy używać sieci VPN. W Internecie działają serwisy oferujące szyfrowane połączenia VPN, zarówno płatnie, jak i bezpłatnie. Dzięki ich usługom możesz czuć się bezpiecznie, korzystając z publicznego, niezabezpieczonego hotspotu.
Przesyłanie plików
Jeśli w niezabezpieczonej sieci przesyłasz pliki między komputerami czy pobierasz pliki z Internetu, są one podatne na przechwycenie. Włamywacz może przejrzeć przechwycone pakiety i z łatwością odczytać zawartość plików tekstowych. A jeśli dysponuje bardziej wyrafinowanym snifferem, będzie w stanie otworzyć również inne pliki – dokumenty, skompresowane archiwa, obrazy – i zapisać je w swoim komputerze.
W tym przypadku użycie szyfrowania WPA lub WPA2 również rozwiązuje problem. W sieci niezabezpieczonej czy w sieci publicznej, nie należy udostępniać plików. Najlepiej, jeśli wyłączysz usługi udostępniania plików i drukarek we właściwościach połączeń sieciowych w Windows XP, Vista czy Windows 7.
Dane dostępowe do kont pocztowych oraz wiadomości e-mail
Szczególnym przypadkiem stron internetowych jest tzw. webmail, czyli dostęp do konta pocztowego przez przeglądarkę WWW. Wspomnieliśmy już o zagrożeniach związanych z niezabezpieczonymi stronami. W kontekście dostępu do konta pocztowego bez szyfrowania SSL oznacza to, że wiadomości są narażone na przechwycenie i odczytanie przez włamywacza. Niektóre serwisy zawsze zapewniają szyfrowany dostęp, ale są też takie, w których szyfrowanie jest opcjonalne lub w ogóle jest niedostępne. Przykładowo, Gmail w domyślnej konfiguracji nie szyfruje transmisji.
Aby sprawdzić, czy Twój dostawca poczty oferuje szyfrowanie transmisji, w adresie URL dodaj literkę S po ciągu znaków HTTP. Przykładowo, zamiast http://mail.google.com, wpisz https://mail.google.com. Jeśli używasz klienta pocztowego, np. Outlooka, zabezpieczenie komunikacji POP3 jest trochę bardziej skomplikowane.
Stosując szyfrowanie WPA/WPA2 w swojej sieci Wi-Fi, zapobiegniesz przechwyceniu wiadomości przez niepowołane osoby. Jeśli nie możesz lub nie chcesz zabezpieczać komunikacji z serwerem pocztowym, możesz korzystać z połączeń VPN.
Dane dostępowe do serwera FTP, transfer plików
Jeśli w niezabezpieczonej sieci przesyłasz pliki pomiędzy serwerem FTP, a swoim komputer, sniffer może je przechwycić. Poza tym, podobnie jak w przypadku poczty elektronicznej, dane dostępowe są przesyłane w postaci tekstowej, więc są bardzo łatwe do odczytania.
Niestety, nie ma możliwości zaszyfrowania samych połączeń FTP, natomiast można włączyć szyfrowanie całej komunikacji w sieci Wi-Fi. W sieciach publicznych w ogóle nie należy korzystać z FTP dopóki nie skonfiguruje się połączenia VPN. Jeśli jesteś administratorem serwera, możesz zabezpieczyć komunikację, uruchamiając protokół SFTP.
Komunikatory internetowe
Większość komunikatorów internetowych i czatów, włączając w to Gadu-Gadu i IRC, wysyła wiadomości czystym tekstem. Dlatego, jeśli korzystasz z sieci publicznej, włamywacz może z łatwością śledzić Twoje konwersacje. Ponownie, aby zabezpieczyć taką komunikację, należy korzystać z połączeń VPN.
Dane dostępowe telnetu
Trzeba pamiętać o telnecie, który również przesyła dane dostępowe prostym tekstem. Nie korzystaj z niego w sieciach publicznych, chyba że masz połączenie VPN. Zamiast telnetu warto używać bezpiecznego protokołu SSH.
Zabezpieczanie
Opisaliśmy kilka usług sieciowych, które są narażone na podsłuchiwanie w niezabezpieczonych sieciach Wi-Fi. Każdy będący w zasięgu takiej sieci może sprawdzić, jakie strony WWW odwiedzasz, odczytać treść wiadomość e-mail czy dane dostępowe do serwera FTP. Aby temu zaradzić:
- Włącz szyfrowanie WPA lub WPA2 w twojej sieci. W ten sposób uniemożliwisz podsłuchiwanie odbywającej się w niej komunikacji.
- Niezależnie od tego zabezpieczaj same usługi sieciowe. Używaj szyfrowania w przypadku usług, które oferują taką możliwość, np. poczta elektroniczna. Używaj alternatyw, np. SSH zamiast telnetu, a pliki przesyłaj przez bezpieczną pocztę a nie serwer FTP. Korzystaj z usług internetowych szyfrujących połączenia protokołem SSL (HTTPS).
- W sieciach publicznych korzystaj z połączeń VPN. Szyfruje one całą komunikację, chroniąc ją przed odczytaniem przez włamywacza. Serwis AnchorFree www.anchorfree.com oferuje bezpłatną usługę SSL VPN.
- Nie używaj jednego hasła dla wszystkich usług. Jeśli włamywacz pozna hasło do jednej usług, nie należy mu ułatwiać zadania I uniemożliwić dostęp do pozostałych usług. Są narzędzia, które umożliwiają bezpieczne przechowywanie haseł, żeby użytkownik nie musiał ich wszystkich pamiętać.
