Wifi hálózatunk biztonságossá tétele

A posztban használt képeken, egy TP-LINK-es router menüje látható, de mivel a többi router menüje is nagyon hasonló, így hát ez jó alap lehet.

Jelszó és felhasználónév megváltoztatása (System Tools/Password)
Hogy egyszerűek legyenek a kezdő lépések, a router menü elérhetőségéhez gyárilag nagyon egyszerű jelszót és felhasználónevet állítanak be, ami általában „admin”. Ha valaki képes lesz elérni a router menüjéhez, akkor máris nyert ügye lesz, ha nem állítunk be normális jelszót és felhasználó nevet.

Biztonságos Wifi hálózat - 1
Biztonságos Wifi hálózat - 1

Router menü elérési címének megváltoztatása (Network/LAN)
A router menük, a gyári alapbeállítás szerint, a 192.168.1.1 cím beírásával érhetőek el a böngészőben. Ez szintén egy olyan pont amit a hívatlan vendég megpróbálhat kihasználni. Írjuk át valami egészen másra.

Biztonságos Wifi hálózat - 2
Biztonságos Wifi hálózat - 2

QSS kikapcsolása
A routere úgynevezett pin módszerrel is könnyedén lehet csatlakozni, kikerülve számos védelmet, ha az adapter(wifi kártya) ismeri ezt a QSS lehetőséget. Jobb ha ezt kikapcsoljuk.

Biztonságos Wifi hálózat - 3
Biztonságos Wifi hálózat - 3

Csak n-es tartományban való sugárzás (Wireless/Wireless Settings)
Ez nyílván csak arra vonatkozik aki az utóbbi 1-2 évben vett routert. A 2008 előtti vagy az olcsóbb laptopokban lévő adapterek csak a 802.11b és 802.11g szabványt látják. Ha a Mode-nál csak n-es szabványt állítunk be, máris megfosztottuk mindenfajta betörési lehetőségtől azokat, akiknek nincs n-es adapterre. A 802.11n szabvány nagyobb hatótávolságra és sokkal nagyobb adatátviteli sebességre képes.

Biztonságos Wifi hálózat - 4
Biztonságos Wifi hálózat - 4

WPA2-PSK jelszó védelem (Wireless/Wireless Security)
Ha a későbbiekben leírt védelmeket sikerül majd megkerülnie valakinek, és lehetősége lesz csatlakozni a hálózathoz, akkor felugrik majd neki egy ablak, ahol a PSK Passwordnál megadod jelszót kellene beírnia ahhoz, hogy tovább léphessen. Én a képen látható WPA2-PSK/AES beállítást javaslom.

Biztonságos Wifi hálózat - 5
Biztonságos Wifi hálózat - 5

A fogadófélnél az alábbi módon kell beállítani a dolgokat, hogy csatlakozni tudjunk Windows 7 alól
Ha már volt egy alap elérésünk, akkor menjünk a Vezérlőpult/ Hálózati és megosztási központ/Vezeték nélküli hálózatok kezelése részhez, a hálózati ikonon egér jobb gomb/Tulajdonságok, a felugró menüben Biztonság fül. A biztonság típusánál WPA2-Personal, titkosítás típusánál AES, a Hálózat biztonsági kulcsa mezőbe pedig beírni a PSK Passwordnál megadott jelszót.

Fizikai cím szerinti szűrés (Wireless/Wireless MAC Filtering)
Minden hálókártyának van egy beégetett fizikai címe. Ha itt Deny… beállítást használunk, akkor csak azok a hálózati kártyák tudnak csatlakozni a router által osztott netre, amelyeknek itt megadjuk a fizikai címét.

Biztonságos Wifi hálózat - 6
Biztonságos Wifi hálózat - 6

A hálókártya fizikai címének megkeresése
Többek között az alábbi módon nézhetjük meg a hálókártya fizikai címét, Vezérlőpult/ Hálózati és megosztási központ/Adapterbeállítások módosítása, a hálókártya ikonjára kattintva, egér jobb gomb, Állapot(ez csak akkor aktív ha van valamilyen hálózati kapcsolat), az újabb menüben Részletek… gomb, majd a feljövő listában kiírja a fizikai címet is. Vagy Parancssor megnyitása (Start menü/Minden program/Kellékek), és beírni hogy ipconfig/all.

IP tartomány szerinti szűrés (DHCP/DHCP Settings)
A kezdő és a vég értéket is beleszámítja, vagyis ha két gépünk van otthon, akkor pl. Start IP Addressnek 190.150.150.150, End IP Addressnek pedig 190.150.150.151 ip címet adjunk meg. Ha mind a két gép netezik a router hálózatán, akkor egy harmadik gép már nem fog tudni, akkor sem, ha fix ip cím beállítással megadja gépének mondjuk a 190.150.150.151 címet.

Biztonságos Wifi hálózat - 7
Biztonságos Wifi hálózat - 7

21 HOZZÁSZÓLÁS

  1. Router menü elérési címének megváltoztatása (Network/LAN)
    Ez igazából szerintem felesleges, mivel ha bejutott a hálóra és kapott a DHCP szervertől IP-t, akkor úgyis tudni fogja (“alapértelmezett átjáró”), ha meg nem tud a hálózatra csatlakozni (a titkosítás miatt), akkor figyelheti akárhogy a titkosított adatforgalmat, még egy WEP-64-ből visszanyert ip címmel sem megy semmire. User/Password lecserélése pedig mindenképp.

    Fizikai cím szerinti szűrés (Wireless/Wireless MAC Filtering)
    Ez egy védhető dolog, csak sosem értettem, hogy miért kellett a legalsó kategóriájú routerekbe is belerakni: sokszor láttam, hogy inkább ezt állítják be az emberek, mint hogy egy rendes kódolást összehegesszenek, pedig ezt egyáltalán nem nehéz “feltörni”. A hálókártyába tényleg bele van égetve gyárilag a MAC cím, csak az cserélhető, ráadásul az OS-ből sem kell hozzá kilépni. És ezért gond, hogy a MAC szűrés a biztonság látszatát kelti az átlag-userben, megfelelő kódolás nélkül fél percig nézem a forgalmat a hálózaton, kinézek egy beengedett címet, és már benn is vagyok

    IP tartomány szerinti szűrés (DHCP/DHCP Settings)
    Mondjuk TP-Link routerhez még nem volt szerencsém, de a DHCP pool többnyire csak azokat a címeket tartalmazza, amiket a DHCP szerver kioszthat, nem azokat, amelyekről forgalmazni lehet. Gyanúgy, hogy az a beállítás, amit írsz az Access Control menüpont alatt lesz nálad. (az én routeremen pl. a Firewall -> IP filters menüpontban található).
    Ehhez annyit írnék le, hogy érdemes azt csinálni, hogy a vezetékes hálózatra kötött eszközöknek beállítasz fix IP címet, azokat úgy sem mozgatjuk, kijelöljük nekik a .1 – .N tartományt (pl. van 2 asztali gép és egy NAS doboz, akkor a 1 a router, 2 a NAS, 3 az egyik gép, 4 a másik gép) és 5-től 25-ig ad ki címeket a DHCP szerver (így a laptopok, telefonok, netbookok, vendégek stb. kaphatnak azonnal címet, nem kell mindig a konfigban nézelődni).

    BlackY

  2. Azért én az utóbbi ponthoz, vagyis a dhcp-hez hozzátenném, hogy nem teljesen igaz az, ami le lett írva. Ugyanis ha valaki eljut odáig, hogy már csak az ip cím van hátra, akkor egyszerűen olyan fix ip-t ad meg, ami nem esik a dhcp tartományba (pl.: 192.150.150.3). Ennek a következménye csak annyi lesz, hogy nem egy a router által kiosztott ip-t használ, de netet ugyanúgy kap az illető, hacsak az alhálózati maszkkal nem érjük azt el, hogy csak két ip-t lehessen használni.

    Amit leírtam az pedig azért működik, mert az alapértelmezett (255.255.255.0) alhálózati maszk lehetővé teszi, hogy a teljes 192.150.150.x tartományt lehessen használni. Az megint más kérdés, hogy a dhcp szerver ebből a nagy tartományból két címet oszt ki, de a többi attól még teljesen használható.

    A helyes beállítás a következő: tehát a router-nek pl 192.150.150.145 címet kell megadni, alhálózati maszknak a 255.255.255.248-at, Ekkor a 192.150.150.144-192.150.150-151 tartományt lehet csak használni. Ebben az esetben 192.150.150.144 lesz az alhálózat neve (nem használható, tehát ne állítsuk be), 192.150.150.151 lesz a broadcast cím (tehát az a cím, amire ha üzenetet küldünk, akkor az alhálózat minden gépe megkapja, így ezt sem tanácsos beállítani (hibát/indokolatlan terhelés okoz a hálózaton)). Vagyis marad 6 cím. Ebből a 145-ös végű lesz a router. A többi címet pedig be lehet állítani a dhcp-nek. Ha csak kettő kell, akkor két címet állítunk be a dhcp-ben, de ettől még a többi 4-et is lehet használni :)

    Az is megoldható, hogy kevesebb, mint 6 címet lehessen használni, viszont ebben az esetben csak 1 gépnek és a routernek jut ip, mivel a következő alhálózati maszk a 255.255.255.252, ami csak 2 ip-t enged :) Olyan alhálózati maszk pedig nincs, ami 3 gépet enged. Ezt ugyanis a router tűzfalában kell beállítani, hogy melyik ip-k használhassanak netet, ha szabályozható.

    Remélem sikerült elmagyarázni, hogy a dhcp-s rész miért is nem jó :)

  3. Fefy, itt most nagyon tévedsz, nem fogsz tudni nettezni, ha az ip címed nem esik bele a megadott, kezdő és vég ip címek közé. Az általad megadott 192.150.150.3 ip cím hiába esik bele a 255.255.255.0 maszk tartományba, a router látni fogja hogy ez a 192.150.150.3 kívül esik pl. a 192.150.150.100 és 192.150.150.110-hez képest.

  4. Mármint látni fogja hogy nincs a 192.150.150.100 és a 192.150.150.110 között.

  5. Még ha az a TP-Link router így is működik, nem ez az általános.

    Ráadásul belenéztem a routered használati utasításába, ha jól látom ahhoz, hogy azt a beállítást kapd, amit írsz, a 4.12-es fejezetben leírtaknál fel kellene vinned egy szabályt (az Access Control-nál):
    Enable – DHCP Clients – Any Target – Anytime – Allow – Enabled

    A DHCP Clients host tartalmazza az IP cím tartományt, amit a DHCP szervered szolgáltat (192.150.150.100 – 192.150.150.110). Így ha a Rule management-nél a Deny van kijelölve, akkor ténylegesen csak a DHCP címtartományból mehet kommunikáció, mivel minden IP-t, amit a DHCP nem tudna kiosztani letiltasz, azokat meg, amelyikeket igen, az összes IP-re és portra kieengeded (persze továbbra is felléphetsz fix címmel, ha a DHCP határain belül maradsz).

    BlackY

  6. Blacky-nél a pont :) Tehát az általános működés az, hogy a dhcp-n kívüli ip tartományból is elérhető a net, ha azonos maszkon és alhálón van a kliens. Ha nem elérhető, akkor pedig egy tűzfalszabály belepiszkál az egészbe, de szerintem normál esetben nem szabadna ilyet csinálnia egyik routernek sem, ugyanis ne a router találja már ki azt, hogy lehet-e vegyesen fix és dinamikus ip-t használni, vagy nem :) Ráadásul engem ez a funkció kimondottan idegesítene, habár én kikapcsolt dhcp-vel használom a “vasat” (talán 5 gépet még nem olyan nehéz kézzel beállítani :D), így kicsit más a helyzet :)

  7. Én máshogy oldottam meg…
    Nálunk 2 laptop időnként feltűnik, nekik mac filter van, de ezek kb. hetente 1-1 napot vannak a szerkesztőségben.
    A másik lehetőség, az üres “vendég” asztal, ott meg örülnek, h van aljzat az áramnak, és LAN csatli, meg hely a rágcsálónak… :)
    Mivel sokaknak ezek semmit nem mondanak, csak azt látja, h “szar a net, nincs wifi”… engem hívnának örökké, így meg dugja ahova akarja.

    Mondjuk előttünk feltűnő lenne ha vki hackerkedne, meg a logfileket is megpillantom néha. Azzal mit lehet kezdeni, h a net felől vannak kísérletek (sajna nincs lementett logom most) amit a router eldob?

  8. Sziasztok!
    Hogy tudom levédeni a TP-LINK routerem az illetéktelen nethasználóktól?
    Tehát,hogy idegen ne tudjon kapcsolódni a netemhez jelszó nélkül!
    Előre is köszi!

  9. Sziasztok !
    Beállitottam szinte mindent, kivéve ip cim szurését és router cimének megváltoztatását.Azota laptoppal nem tudok csatlakozni és nem is kér be jelszot.Hol lehet azt beállitani hogy jelszoval csatlakozzon.
    Előre is köszönöm a segitséget

  10. Sziasztok.

    Mindent beállítottam és jól működött eddig. Vettünk egy másik laptopot de azzal nem tudunk csatlakozni. Nem tudjátok mi lehet a gond?
    Előre is köszönöm.

  11. Valószínű hogy a Mac címet nem jól adtad meg mármint a laptop Mac címét
    (A hálókártya fizikai címének megkeresése)

  12. Üdv!

    Arra lennék kíváncsi hogy ha okostelefonom van(androiddal) akkor a telefonon belül hogy tudom megnézni a fizika címét?

  13. Hello!

    Lehet,hogy hülyének fogok tűnni, de milyen jelszót kell megadni, amikor 192.168.1.1 oldalon hitelesítést kér?
    Előre is köszönöm!!!

  14. admin a felhasználónév, és admin a jelszó is.
    Szinte minden SOHO (otthoni, kisorodai) routeren ez az alapbeállítás.

  15. Remélem tud nekem valaki segíteni.Problémám van egy alcatel ot 995-ös telefonom,amin nem müködik itthon a wifi.Más rutereken próbáltuk és jó,itthon pár perc wifizés után levágja még az internetet is.Újból vissza kell állítani a rutert hogy internet legyen.A ruter tp_link ,más telefonunk mindig müködött róla.Ha valaki tudja a megoldást kérem segítsen Köszönöm

  16. Sziasztok, az a nagy problémám, hogy próbálom a fent leirtakat követve levédeni a WIFI-t, de nekem nem hoz fel olyan oldalt, hogy Wireless/Wireless Security, ami talán az egyik legfontosabb lépés. Miért nem találom? Segitsetek!!!!! Köszönöm

  17. @Erika: Lehet, hogy már késő, de Én is megjártam már sok Alcatel eszközzel. A megoldás, hogy a routerben a Wireless beállítások alatt a Channel width-et AUTO-ról átteszed 20MHz-re. Ezután elvileg az Alcatel már tud IP-t kérni a routertől. Ha mégsem, akkor vedd vissza a Wifi-t 11bgn-ről 11bg-re, de az első megoldásnak elég kell lennie!

  18. Sziasztok!
    Az a problémám, hogy a wifi ruter jelszavát megváltoztattam, és elfelejtettem, mit adtam meg felhasználónak, és jelszónak. Ezért nem tudok belépni a ruter beállításába. Ezt hogy tudnám vissza állítani a gyári “admin”ra? Tp-link ruter, ha ez számít.
    Válaszotokat köszönöm.

  19. Reseteld a routert, erre van gomb a tplinkeken, azt hiszem 10 másodpercig kell nyomvatartani. De legbiztosabb ha a routered verziószámához hozzáteszed a “reset” kifejezést és rákeresel a Google-ben.

  20. Addig nyomd a RESET gombot, ameddig fel nem villanak a LED-ek a routeren! Ezzel viszont minden beállításod törlődni fog!!!! Többek között az Internet csatlakozási beállítások is. Vannak ingyenes szoftverek amik vissza tudnak szedni egy-két adatot a router mentett beállításaiból, már ha van ilyen.

    http://www.nirsoft.net és itt a Router Password View.

HOZZÁSZÓLOK A CIKKHEZ

Kérjük, írja be véleményét!
írja be ide nevét