Po jednym z ostatnich tekstów postanowiłem napisać krótki poradnik dotyczący sposobów na choćby częściowe zabezpieczenie sieci komputerowej, ze szczególnym uwzględnieniem jej części bezprzewodowej. Wiadomo – bezprzewodówka jest „fajna i wygodna”, jednakże niesie ze sobą sporo niebezpieczeństw nie branych często w ogóle pod uwagę. Dziś postaram się je wypunktować próbując nieco uczulić instalatorów na to zagadnienie.

Tekst ten koncentrował się będzie na najprostszych możliwych metodach, gdyż to one najczęściej są zaniedbywane. Nie znajdziecie tu konfiguracji serwera Radius czy VPN szyfrowanego IPSec na Windows Server, przepastne zasoby internetu stoją otworem, organizowane są szkolenia i kursy, poza tym większość dzisiejszych instalacji opartych o kamery IP czy megapikselowe (przynajmniej w Polsce) to małe i średnie sieci, więc tak rozbudowane patenty nie są konieczne. Nadmienię też, że poniższy tekst koncentrował się będzie na zastosowaniach związanych z tematyką strony, czyli CCTV. Aha, pamiętać należy o fakcie, iż tak naprawdę nie ma 100% zabezpieczeń, a całe to zmieszanie ma na celu głównie wydłużenie czasu potrzebnego na sforsowanie sieci. Zapraszam do lektury.

Zmiana domyślnych nazw użytkowników i haseł.

Tak banalna sprawa, a zaniedbywana bardzo często. Jeżeli istnieje taka możliwość, to dobrze jest zmienić zarówno nazwę głównego administratora, jak i jego hasło. W sieci bez problemu można znaleźć całe listy z domyślnymi parami username/password, więc warto poświęcić chwilkę na ten krok. I nie mówię tu tylko o samych urządzeniach tworzących szkielet sieci (router, switch), ale także o kamerach czy videoserwerach, szczególnie, jeżeli dostęp do nich można uzyskać spoza sieci wewnętrznej (np. po przekierowaniu portów). Oczywiście jeżeli nazwa administratora nie może być zmieniona, to swoją uwagę kierujemy na hasło pamiętając o tym, aby było ono odpowiednio silne (czyli nie same litery czy cyfry, tylko mieszanka powiązana z innymi symbolami dostępnymi na klawiaturze). Wiadomo, że lepiej nałożyć np. takie hasło: Bss3igs$ („Były sobie świnki trzy i gęsiego sobie szły”), niż mojasiec.

Filtrowanie po adresach MAC.

Adres MAC (Media Access Control) jest unikalnym identyfikatorem urządzenia sieciowego, nadawanym przez producenta. Routery pozwalają na tworzenie listy „zaufanych” adresów MAC i na jej podstawie są w stanie zarządzać ruchem, czyli przepuszczać transmisję ze wskazanych urządzeń oraz blokować z wszystkich pozostałych (nie wpisanych na listę). Zabezpieczenia to jest bardzo proste, gdyż istnieje szereg programów pozwalających „podsłuchać” transmisję i odczytać te adresy, po czym sklonować je na inne urządzenie i w ten sposób umożliwić mu dostęp do sieci. Jednakże nie ma żadnych przeciwwskazań, aby metodę tę stosować, gdyż może ona zniechęcić przypadkowych „włamywaczy”.

Szyfrowanie transmisji.

Bez wątpienia to jeden z najważniejszych kroków. Mimo, że w dniu dzisiejszym znane są metody łamania większości typów zabezpieczeń stosowanych w urządzeniach sieciowych, to nie można o tym zapomnieć. Szyfrowanie WEP (Wired Equivalent Privacy) to metoda najprostsza do złamania i jeżeli nie ma takiej konieczności (np. w sieci istnieją urządzenia obsługujące tylko taki standard), to należy o niej zapomnieć.

Absolutnym minimum powinien być WPA (WiFi Protected Access), jednakże ostatnie doniesienia potwierdzają, że i to zabezpieczenie można dość łatwo i szybko złamać. Pozostaje WPA2, jednak tu problem jest inny: nie wszystkie kamery obsługują ten standard… Tak czy owak szyfrować warto, pamiętając o silnym haśle.

Wyłączenie DHCP.

Serwer DHCP (Dynamic Host Configuration Protocol) to bardzo wygodna sprawa, jednak w sieciach, do których z natury osoby postronne nie powinny mieć dostępu, niepożądana. DHCP jest protokołem, który pozwala automatycznie uzyskać dane niezbędne do pracy w sieci urządzeniom istniejącym w tej sieci. Innymi słowy po podłączeniu komputera/kamery do routera nic więcej nas nie interesuje, resztę załatwia serwer. Naturalnie w instalacjach opartych na kamerach IP nie jest to pożądane, gdyż zazwyczaj zależy nam, aby sieć pozostała niedostępna dla intruzów. Stąd też zalecenie, aby DHCP wyłączyć, a urządzeniom nadać adresy IP „na sztywno”. Dobrze też jest wybrać pulę adresową nieco inną niż te stosowane domyślnie (192.168.0.x, 192.168.1.x itp.), gdyż to właśnie te przedziały atakowane są na samym początku.

Zmiana SSID oraz jego ukrycie.

Po wyjęciu z pudełka urządzenia sieciowe SSID (Service Set IDentifier) mają najczęściej ustawione na pewną domyślną wartość (nazwa producenta, model itp.). Dobrze jest zmienić ten ciąg znaków no coś, co nie kojarzy się jednoznacznie z obiektem, w którym ma miejsce instalacja. Innymi słowy, jeżeli kamery montujemy w spożywczaku Ada na ulicy Piłsudskiego, to nie nazywajmy sieci bezprzewodowej adanapilsudkiego (choć wtedy od razy kojarzy się to z obiektem). Należy pamiętać, że w ten sposób identyfikację ułatwiamy nie tylko sobie.

Druga sprawa to wyłączenie rozgłaszania SSID (czyli jego ukrycie). Z jednej strony ten krok bardzo łatwo zniwelować odpowiednim oprogramowaniem (tak samo jak filtrowanie MAC adresów), z drugiej jednak grzechem byłoby nie skorzystać z możliwości wyeliminowania co mniej ambitnych, przypadkowych „hakerów”. Innymi słowy warto w routerze opcję Enable SSID Broadcast ustawić na No.

Odpowiednie ustawienie routerów/access pointów.

Kolejna rzecz pozornie banalna. Ustawiamy urządzenie odbiorcze w takim miejscu, aby zapewnić bezproblemową i stabilną komunikację z bezprzewodowymi urządzeniami, które z nim są połączone, to oczywiste. A jeżeli przy takim ustawieniu propagujemy sygnał także poza obiekt? Cóż, w dość banalny sposób zwiększamy potencjalne zagrożenie, zachęcając niejako potencjalnych intruzów do ingerencji w naszą sieć. A może istnieje ustawienie AP pozwalające zarówno na sprawną transmisję jak i na ograniczenie „wycieków” poza budynek? Z pewnością warto popróbować, często bowiem istnieje pozycja będąca rozsądnym kompromisem. Dodatkowo zdarzają się urządzenia pozwalające na regulację mocy, co też może być pomocne przy ustalaniu właściwego zasięgu działania.

Powyższe kroki odnoszą się głównie do instalacji opartych o kamery IP komunikujące się z punktem zbiorczym zdalnie, jednakże zbiorek ten spokojnie odnieść można również do prostych zastosowań domowych typu router + notebook z kartą WiFi. W tym przypadku warto poświęcić nieco czasu na bardziej szczegółową konfigurację firewalla systemowego oraz instalację tego typu oprogramowania również na samych komputerach. Najprostszą zaś metodą na ochronę sieci bezprzewodowej (i każdej innej) jest… wyłączenie urządzenia. O ile w systemach telewizji przemysłowej nie jest to raczej możliwe (muszą działać 24/7), o tyle w prostej sieci domowej jak najbardziej realne.

Może zainteresują Cię również poniższe wpisy: