Od samog početka, bežične mreže unele su revoluciju u našu svakodnevicu. Međutim, sami uređaji koji signal iz kabla pretvaraju u bežični (wirelless) signal su prešli trnovit put u smislu bezbednosti, pa čak i danas, novi bežični ruteri i access pointi dolaze potpuno otključani iz kutije, i na samim korisnicima je da ih podese, tako da sigurnost dovedu do nekog prihvatljivog nivoa.

Svakom od nas desilo se da nabasa na nezaštićenu WiFi mrežu, te da skinemo poneki fajl s neta ili da bacimo pogled na elektronsku poštu. U suštini, sem što smo nekome na trenutak malo usporili mrežu, nikakvu ozbiljnu štetu nismo naneli. Nažalost, svet oko nas nije satkan samo od dobrih i znatiželjnih ljudi, već i od onih koji sa lošom namerom traže baš ovakve situacije, kako bi sa vaše bežične mreže pristupili fajlovima na vašim računarima, skinuli šifre kojima se logujete na nezaštićenim stranicama, ili učestvovali u nekim nezakonitim aktivnostima, gde sva odgovornost može lako pasti na vas.

Sopstvena mreža

Ukoliko ste bežični ruter dobili od svog provajdera, sve su šanse da isti nije nikako zaštićen ili da je implementirana neka od nižih sigurnosnih mera, te da je potrebno da što pre postavite vaše parametre i time zaštitite svoje mrežne resurse. Kako na tržištu postoji puno različitih modela rutera i access pointova, ovaj tekst je pre svega predviđen kao vodič mera koje možete i treba da postavite, ali nažalost ne i pristup kako da to uradite na konkretnom uređaju, po sistemu klik po klik. Ukoliko niste vični svim opcijama na vašem ruteru, prošetajte do web strane proizvođača vašeg uređaja i skinite najnoviju verziju uputstva. Ujedno, ukoliko imate nekoliko godina star ruter i od samog početka niste nadograđivali softver na njemu, na istom mestu pogledajte i da li je raspoloživa softverska nadogradnja za isti. Ako jeste, te se i vi sami rešite da uređaj nadogradite, obavezno pratite uputstvo za nadogradnju do tančina, pošto sama nadogradnja, ukoliko se uradi nekorektno, od uređaja pravi običan pritiskač papira.

Prva, i ujedno najbazičnija mera je setovanje administratorske šifre na samom uređaju. Ovo je potrebno uraditi odmah i obavezna je stavka. Ukoliko primenite sve ostale mere opisane ispod, a ovaj deo preskočite, badava ste gubili vreme u podešavanju. Druga, takođe osnovna mera zaštite jeste odobravanje ili zabrana pristupa uređaja na osnovu MAC adrese. Media Access Control, ili skraćeno MAC, predstavlja skup od šest para heksadecimalnih vrednosti. Svaki uređaj koji ima bilo kakve mogućnosti povezivanja na bilo kakvu mrežu ima jedinstvenu MAC adresu, bilo da je to telefon, kompjuter ili Bluetooth miš. Prva tri para heksadecimalnih upisa predstavlja Organisationally Unique Identifier (OUI), i oznaka je proizvođača opreme, pa tako na osnovu samo ovog podatka možete da znate koji su uređaji na vašoj mreži. WiFi mrežu možete zaključati na osnovu cele MAC adrese, i to tako što ćete adrese uređaja unositi u listu na vašem ruteru. Listu dalje možete proglasiti dozvoljenom, kada svi uređaji koji su pobrojani mogu da se povežu sa ruterom, ali sem njih nijedan drugi uređaj ne može, ili je zabranjeno, gde svi uređaji mogu da se povežu sem onih koji su pobrojani. Ovakav vid zaštite dobro je postaviti u manjim mrežama, naravno uz neke dodatne mere zaštite, mada sa današnjeg aspekta nije nikakva naročita zaštita, jedino može odbiti oportuniste koji slučajno nalete na vašu mrežu, pošto se MAC adresa lako menja, i još se lakše dolazi do nje.

Prava zaštita mreže se sastoji u enkripciji wireless saobraćaja. Najstarija vrsta enkripcije svakako je WEP, iliti skraćeno od (Wired Equivalent Privacy), vremešni protokol iz 1999. godine. Dolazi u dva standarda, 64-bitni WEP, koji koristi 40-bitni ključ, i 24 bita za inicijalizacioni vektor, poznat i kao WEP-40. Ovaj obogaljeni sistem je od samog starta imao problema, usled zabrane američke vlade da izvoze kriptografske metode van Amerike. Čim je ova zabrana ukinuta, usledila je revizija enkripcije i njena evolucija u 128-bitni deo, i kasnije, i na 256-bitnu dužinu, mada se ova poslednja retko javlja na uređajima. Za korisnika koji reši da implementira ovaj standard sigurnosti, dovoljno je da samo oformi lozinku kojom omogućava pristup mreži, i da istu ukuca na svim uređajima kojima želi da pristupi. Od samog starta, naročito ispoljenog kod 64-bitne implementacije ključa, hakeri su razvili napade koji ove lozinke „padaju” u roku od nekoliko minuta, pa je ovaj vid zaštite mreže jedino primenljiv na baš starim mrežnim sistemima, gde je uređaje nemoguće rekonfigurisati da rade na nekim od ozbiljnijih standarda enkripcije.

Prva naredna implentacija koja donosi veću sigurnost je WiFi Protected Access, iliti skraćeno WPA, kao i njegova dalja revizija WPA2 koja je najsigurniji sistem zaštite bežične komunikacije do danas. Da bi nas dodatno zbunili, tvorci ove enkripcije omogućili su i dalje usložnjavanje priče, u vidu moda personalnog ključa (namenjeno pre svega za ličnu upotrebu), to jest Pre-Shared Keya, skraćeno PSK, i moda enkripcije namenjene za poslovno (enterprise) okruženje, na nekim ruterima označenog kao 802,1X, Radius ili EAP. Većina današnjih rutera podržava oba ova moda, i svakako potražite ovaj vid enkripcije na vašem ruteru.

Pre-Shared Key enkripcija se izuzetno lako podešava, dovoljno je da samo podesite šifru kojom će se korisnici autentikovati na vašoj bežičnoj mreži. Jedino na šta treba obratiti pažnju jeste izbor šifre, pošto trenutno jedini način da neko hakerski dodje do vaše šifre svodi se na to da proba takozvani brute-force napad, to jest napad gde se probaju sve reči iz neke baze reči, čestih šifara i kombinacija. Ukoliko postavite složenu šifru, poput dugog niza malih i velikih slova i specijalnih karaktera, ova šifra je pravi bedem za ovakvu vrstu napada, a sigurnost diže na zadovoljavajući nivo.

Veće firme se ovim metodom neće zadovoljiti, iz praktičnih razloga. U ovako zaštićenoj mreži svi uređaji se povezuju na ruter ili access point istom šifrom, pa ako neko napusti kompaniju, moraćete da menjate i ključ. Ukoliko imate veliki broj računara ovo može da prestavlja veliki problem, ili potencijalno usko grlo kada samu uradite promenu šifre, jer će u istom trenutku svi korisnici pohrliti kod vas da vam prijave problem. Enterprise mod kod WPA/WPS2 enkripcije podešava se malo teže, i pored već postojeće infrastrukture, tražiće i dodatni server, mada postoje i ruteri koji ovakav server već imaju u sebi. Ovakav način zaključavanja mreže je bolji, svaka radna stanica ima svoju šifru za pristup mreži, pa ako neko od zaposlenih i napusti firmu, dovoljno je da mu na centralnom serveru samo obrišete nalog, ili da mu promenite šifru. Dodatni plus predstavlja i to da svaka od radnih stanica unutar korporativne mreže, zboj jedinstvenog ključa, postaje zaštićenija u smislu prisluškivanja saobraćaja od strane drugih korisnika unutar iste mreže. Da bi ste uspostavili ovakav vid enkripcije, pomenućemo samo da je potrebno podići Radius server, bez daljeg ulaženja u sitna crevca ovakvog setapa, jer je on namenjen većim kompanijama.

Ovako zaštićena mreža sada je spremna za svakodnevno korišćenje. Sigurnost doduše ne prestaje tu, jer mrežu takođe treba nadgledati s vremena na vreme, a prilikom izbora mesta gde će se access point nalaziti, vodite računa da to bude lokacija koja nije tako lako fizički dostupna, naročito ako, na primer, postavljate WiFi hot spot u vašem kafiću. Savet je da pristupni ključ kreirate da bude složen, kao i da ga s vremena na vreme menjate, kao i da izaberete WPA ključ pre nego WEP, jer oba ne mogu da koegzistiraju na mreži, a ako mrežu koju želite javno da podelite s ostatkom želite i da koristite za lične potrebe, razmislite o uvođenju paralelnog WiFi-a na istoj lokaciji. Ovo je izuzetno lako uraditi sa nekim novijim ruterima, koji podržavaju ovakvu opciju, samo potražite u opcijama secondary SSID, ili guest WiFi net parametre.

Tuđa mreža

S druge strane, potrebno je da povedete računa kako se vi sami ponašate kada pristupate tuđim (ili javnim) bežičnim mrežama. Ukoliko se nalazite u vašem omiljenom kafiću i uz espreso listate najnoviju digitalnu štampu, možete da se nađete u ulozi žrtve veoma lako. Kako bi ste izbegli zlu sudbinu, potrebno je da se držite nekoliko jednostavnih pravila ponašanja u ovakvom okruženju. Pre svega, nikako ne pristupajte servisima koji vam nisu od krucijalnog značaja u tom trenutku. U koliko vam nije od značaja da proverite poštu na nezaštićenom web serveru, nemojte to ni da radite. Postoji opasnost da neko „prisluškuje” saobraćaj, pa da veoma lako dođe do kombinacije vašeg korisničkog imena i šifre, te da vam preotme email adresu. Ukoliko baš morate da priđete web mailu, proverite da li to radite preko secure stranice (u adresi je uneto https umesto http, a u samom browseru se pojavljuje slika katančića), jer saobraćaj u oba smera putuje enkriptovan, te je praktično nemoguće doći do zloupotrebe vaših identifikacionih parametara. Bez mnogo razglabanja na temu zašto, nikako ne vršite bilo kakve elektronske transakcije iz ovakvih javnih mreža, bez obzira na to da li samo proveravate stanje na računu ili plaćate nešto, ili ste se pak logovali na neki sajt gde možete finansijski da stradate ako neko dođe do vaših kredencijala (online aukcijske kuće na primer).

Takođe proverite parametre konekcije na vašem računaru, raspitajte se od okoline da li u lokalu uopšte postoji javna pristupna tačka, te kako se ona zove. Jedan od najjednostavnijih načina napada predstavlja postavljanje javnih pristupnih tačaka tamo gde one ne postoje, ili ako ih ima, napadač ih naziva sličnim imenima, tipa, ukoliko je ime WiFi pristupne tačke „KafeGnezdo”, napadač postavlja svoj WiFi s imenom „Kafe-Gnezdo”. Da bi naterao korisnike da se loguju na njegovu mrežu, obično ostavlja pristup nezaštićen, pa se korisnici loguju tamo gde im je lakše, ne sluteći u kakvu zamku upadaju. Sav saobraćaj koji ide preko ovakve mreže se onda pamti, pa haker lako može doći do osetljivih podataka.

Ostali nivoi zaštite rada u ovakvim sredinama se sastoje u instaliranom antivirusu, koji ima najnovije definicije antivirusnih akcija, podignutom firewallu na računaru sa koga pristupate, a popularne su i verzije aplikacija koje u imenu nose Internet Security, koje se obično sastoje od antivirusa, specijalizovanog firewalla i definicija malicioznih sajtova na netu. Takođe, ukoliko koristite Windows 7 za pristup, kada se povežete na novu WiFi mrežu, obavezno izaberite scenario najpribližniji od tri ponuđena (home, work ili public), te isključite sve mrežne šerove na svom računaru (ukoliko izaberete public iz pomenutog menija, to će Windows učiniti za vas). Obavezno instalirajte i sve zakrpe za operativni sistem koji koristite, kao i za sve aplikacije koje imaju neku vrstu online upotrebe. Na primer, Flash koji je opšte prisutan na svim sajtovima, u prošlosti je često bio meta hakera i polazna tačka za neovlašćeni upad na tuđe sisteme.

Mada ova cela procedura deluje možda zamršeno, ipak treba se u svakodnevnom radu pridržavati svega gore napomenutog, naročito ako se nalazite u vama nepoznatoj sredini. Broj žrtava ovakvih napada nije nimalo zanemarljiv, a kako se i kod nas elektronsko bankarstvo polako odomaćuje i broj korisnika raste, možete se lako biti i materijalno oštećeni. U svakom slučaju, koristite zdrav razum šta je pametno uraditi u ovakvim situacijama, jer od ljudske gluposti ne postoji (efikasna) zaštita.