יורדים מהחוטים

בפעם שעברה, ראינו כיצד שימוש ברשת אלחוטית בלתי מאובטחת יכול להיות מגניב, אבל גם מסוכן או סתם מטריד. הבעיה היא שרבים לא יודעים כיצד לאבטח את הרשת שלהם בכלל, למרות שמדובר בפעולה לא קשה במיוחד.

חשוב לזכור שלא כל הנתבים זהים בתכונותיהם, ולכן ייתכן שלא כל הטכניקות שבהן נדון כאן יהיו זמינות גם אצלכם. במידה וזה המצב, אין צורך לדאוג – כל אחת מהטכניקות שלהלן מספיקה בפני עצמה כדי לשמש אבטחה סבירה. הדבר הראשון שיש לדעת הוא כיצד להכנס למערכת הניהול של הנתב. ברובם המוחלט של הנתבים, ניהול ההגדרות נעשה באמצעות דפדפן רגיל. פשוט יש להקיש בחלון הדפדפן את הכתובת של הנתב ולהזדהות. כמעט כל הנתבים בעולם משתמשים באותה כתובת ברירת-מחדל, ולכן יש להקליד בדפדפן שלכם את הכתובת:
http://192.168.2.1

בשלב זה תתבקשו להזדהות בפני הנתב באמצעות שם וסיסמא, או רק סיסמא. פה המצב קצת מסובך יותר מכיוון שכל יצרן בוחר הגדרות מסוימות כברירת המחדל, ועלול גם להיות מצב שבו טכנאי שהתקין לכם את הרשת שינה את ההגדרות למשהו אחר. במידה ואינכם יודעים, חפשו את חוברת ההוראות של הנתב וחפשו בה את השם והסיסמא שמוגדרים כברירת המחדל, וקוו שהם המתאימים. באותה הזדמנות מומלץ מאוד לשנות את הסיסמא, מכיוון שסיסמאות של נתבים נפוצים ידועות להאקרים רציניים והם יוכלו להשתמש בסיסמא כדי לעקוף את הגדרות האבטחה שלכם.

הגדרות הנתב הן לא דבר טריוויאלי, ושינוי שלהם כרוך בסיכון מסוים. שינוי הגדרות מסוימות עלול להביא את הנתב למצב של חוסר תפקוד, ולכן חשוב לבדוק לפני הכל כיצד מבצעים לנתב איתחול. בדרך כלל מדובר בכפתור שקוע בדופן המכשיר, שלחיצה ארוכה של כמה שניות עליו מאפסת את הגדרות המכשיר לברירת המחדל ומאפשרת לחזור למצב עבודה. כדאי גם לגבות את הגדרות הנתב לקובץ, כך שאם הגדרתם חוקי-גישה או שיש לכם הגדרות חיוג מיוחדות, שתוכלו לשחזר אותן בקלות.

צורת ההגנה הבסיסית ביותר היא סינון כתובות MAC. כתובת MAC (אין קשר למחשב המקינטוש) היא כתובת שבעזרתה מזהה הנתב מחשבים המתחברים אליו, וכתובת זו היא צרובה בחומרה של כרטיס הרשת האלחוטי. ברוב הנתבים יש הגדרה בשם MAC Filtering המאפשרת להגדיר לנתב לאפשר גישה רק לכתובות שהוגדרו לו ידנית על ידיכם. קודם כל הכינו רשימה של כתובות ה – MAC של המחשבים שלכם שצריכים להתחבר לנתב. בדרך כלל אפשר לראות בדף הראשי של הנתב את רשימת הלקוחות המחוברים כעת ואת כתובותיהם, וזה הכי קל. אם אין לכם דבר כזה, פתחו חלון "דוס" והקלידו את הפקודה getmac ואחריה לחצו Enter. הטקסט הארוך בצד שמאל הוא הכתובת (אצלנו זה 00-19-D2-0B-10-E2). כך זה נראה:
Physical Address Transport Name
=============== ====================================================
00-19-D2-0B-10-E2 \Device\Tcpip_{3884584D-64F2-4A1D-8C0A-1972670DCEDC}

יכול להיות שתקבלו כמה כתובות, ואם כן זה לא נורא – פשוט השתמשו בכולן בשלב הבא.

בממשק הניהול של הנתב שלכם, חפשו את הגדרת Mac Filtering, ואם יש שם תיבת סימון של הפעלתה, סמנו אותה. בשלב זה צריך להיות מקום שבו אפשר להזין כתובות MAC כמו זו שראינו קודם. צריך להקליד את הכתובות של כל המחשבים בבית, ואם למחשב מסוים יש כמה כתובות, אז את כולן. שימו לב לא לטעות, שכן אז המחשב יחסם לגישה לאינטרנט. אנו ממליצים להכניס מחשב אחד, לוודא שהכל בסדר ורק אז להזין את האחרים כדי שלא תהיה סכנה שתינעלו בלי גישה לנתב. בנתבים מסוימים תהיה תיבת סימון בשם Allow/Deny הקובעת אם הרשימה של הכתובות היא הכתובות שלהן מותר להתחבר (Allow) או אסור (Deny). שימו לב להסבר המופיע שם כדי שתגדירו שלמחשבים שלכם מותר להכנס ולא ההיפך. בשלב זה, רק המחשבים שהגדרנו יוכלו להתחבר לאינטרנט דרך הנתב. מה שעלול לסבך את העניינים הוא מצב בו יבוא לבקר אותנו אורח רצוי, אך הוא לא יוכל להתחבר בגלל האבטחה. במקרה כזה, יש להכנס שוב לממשק הניהול ולהוסיף את כתובתו של האורח המכובד.

כמעט כל נתב ביתי כולל מערכת אבטחה בסיסית בשם WEP. זוהי אבטחה ישנה וחלשה למדי, ולכן נתבים חדשים יותר כוללים תמיכה בשיטות טובות יותר כגון WPA או אחותה החדשה והטובה-יותר WPA2. כדאי לבחור בשיטה החזקה ביותר שאפשר, אך חשוב לזכור שלא כל מערכות ההפעלה תומכות בזה. חלונות XP, למשל, מחייבת SP2 כדי לתמוך ב – WPA, וכדי לעבוד עם WPA2 היא חייבת עדכון נוסף שמספרו KB893357. מערכות ישנות יותר תומכות רק ב – WEP הישן וזה קצת מעיק, אך יותר טוב מכלום. להאקר מנוסה קל מאוד לפרוץ את ההגנה של WEP, אך סיכוי סביר שאמצעי זה יעצור את המשתמש המזדמן או השכן החמדן. כדי להפעיל את WPA או WEP, חפשו דף בשם Wireless security בהגדרות הנתב. בדף זה תוכלו לבחור את סוג האבטחה ותצטרכו לבחור סיסמא. אל תשכחו שהאקרים עלולים לנסות לנחש את הסיסמא שלכם, ולכן חשוב לבחור סיסמא חזקה ומורכבת כדי לצמצם את הסיכון לזה. הסיסמא 1234, למשל, אינה חזקה במיוחד, וגם לא poiuytrewq, אם ניסיתם להתחכם. לאחר שתפעילו את ההגדרות הללו, תצטרכו להקיש את הסיסמא גם במחשבים המתחברים לרשת שלכם.

טכניקה נוספת לאבטחה היא פשוט להתחבא. נתבים אלחוטיים משדרים לסביבתם את שם הרשת שלהם (SSID), וזה מאפשר למתחברים חדשים לראות את הרשת ולבחור אותה. המחשבים שלכם, שכבר מוגדרים להתחבר אוטומטית לרשת, לא צריכים את השידור הזה ולכן אפשר פשוט לבטל אותו וזה יהפוך את הרשת שלכם לבלתי נראית עבור מבקרים. בדרך כלל, הגדרה זו תהיה תחת דף בשם Wireless Settings, ושם בדרך כלל תהיה הגדרה בשם Broadcast wireless network name (SSID) או משהו דומה. כדי לבטל את השידור, יש להסיר את ה – V המסומן שם. בנוסף על כך, ניתן ומומלץ לכבות את הנתב לחלוטין כאשר יוצאים מהבית, במיוחד לתקופה ארוכה כגון חופשה. צעד זה עלול להיראות כמו פרנויה, אבל אתם גם נועלים את הדלת כשאתם יוצאים מהבית, לא?