Vieläkun löytäisi jostain jotain tietoa tuosta Airport Expressin turvallisuudesta ts. että kuinka helppo se on konffata sellaiseksi että mun lähiverkkoon ei pääsisi kuka vaan. Käsittääkseni tämä on tätä war drivingiä...?
OK, here goes :D Yleisiä WLAN tietoturvaohjeita...
- Ostaessasi WLAN tukiaseman se on lähes aina oletusarvoisesti avoin, elikkäs mahdottoman turvaton. Muuta oletusasetuksiasi
- SSID (verkkotunnus) yksilöi verkkosi helposti tunnistettavalla nimellä. Oletusarvoisesti toi on "default" joten se kannattaa muuttaa vaikka "omppupomppu"ksi. SSID:tä oletusarvoisesti "kailotetaan" kaikkialle, eli WLAN tukiasema kertoo olevansa omppupomppu kenelle tahansa. Tämän saapi pois, eli älä lähetä SSID tunnustasi aktiivisesti. Muuta myös oletuskanavaa, varsinkin jos lähistöllä on muitakin WLAN verkkoja. Voi tulla suorituskykyongelmia.
- Käytä MAC osoitteen (verkkokortin, esim AirPort Extreme kortin) yksilöivää tietoa yhdeksi tunnistautumismenetelmäksi, eli WLAN tukiasema ei anna IP osoitetta muille kuin tietyn MACin omaaville koneille. HUOM!!! Tämä ei kuitenkaan ole mikään tae turvallisesta WLAN verkosta, sillä esim Linuxille on helposti saatavissa ajureita, jotka antavat käyttäjän itse määritellä (feikata) MAC osoitteet. Tämä on kuitenkin ensimmäinen steppi turvallisempaan WLAN verkkoon. Tämä estää naapurin mummelin tahattoman kaista-anastuksen. Liikuteltavaa tietoa tämä ei mitenkään suojaa joten;
- Ota käyttöön salaus tukiaseman ja langattoman laitteen vällille. WEP tai WPA ovat tällä hetkellä oikeastaan vaihtoehdot. Suositus; WPA. Esim omassa D-Linkissäni tämä on helppoa kuin mikä. Määritellään turvatasoksi WPA-PSK (PreShared key) ja AirPortin tunnistautumismetodiksi WPA Home. Lisäksi määritellään salasana. Ei WEPissäkään nyt mitään vikaa ole kotikäyttäjälle. Liian monet paisuttelevat WEPin heikkouksia. WEP toteutuksia löytyy myös toimivia ja jos käytetään esim 256bit WEP salausta on se jo erittäin riittävä kotikäyttöön. Jos käytetään businesskriittistä tietoa langattomassa verkossa, suojataan se AINA jollakin muulla tavalla (tavallla jossa salaus ei lopu tukiasemaan). Tapoina mm. VPN (IPSec), TLS (web) tai vaikka SSH.
- Palomuuri päälle jos sitä ei jo ole asetettu.
- Anna WLAN tukiaseman myös hoitaa NAT (Network Address Translation) jos mahdollista. Tällöin WLAN tukiasemalla on esim IP osoite jonka palveluntarjoajasi on sinulle määritellyt (kiinteä tai DHCP:n kautta) ja omalle koneellesi tukiasema myöntää esim DHCPn kautta ns privaattiverkon IP osoitteen (normaalisti vaihtohetoina on 192.168 alkuiset tai sitten 10.10. alkuiset osoitteet). Toistaalta jos käytät VPN:ää (tai muuta päästä-päähän salausta) törmäät hyvin todennäköisesti ongelmiin jos tukiasema suorittaa NATia, jolloin sinun pitää pysyttäytyä julkisessa IP osoitteessa (palomuuri päällä, eiks je!)
Mutta... siis... ettei mennä liikaa kiehkuroihin niin kotikäyttön turvaamiseksi (salaus ja kaistan nyysiminen) riittää
- Muuta SSID, älä lähetä aktiivisesti
- Sido annettava IP langattoman laitteen MAC osoitteeseen
- Salaus, joko WEP tai mieluummin WPA.
Tolla riski tietomurtoon WLANin kautta on noin 0.0001%
