21Jul
WPA2 sa snažnom lozinkom je siguran sve dok onemogućite WPS.Taj savjet možete pronaći u vodičima kako biste osigurali Wi-Fi na cijelom webu. Wi-Fi Protected Setup bila je zgodna ideja, ali koristeći je pogrešku.
Vaš usmjerivač vjerojatno podržava WPS i vjerojatno je omogućen prema zadanim postavkama. Poput UPnP-a, ovo je nesigurna značajka koja vašu bežičnu mrežu čini ranjivijim za napad.
Što je Wi-Fi Protected Setup?
Većina kućnih korisnika treba koristiti WPA2-Personal, također poznat kao WPA2-PSK."PSK" označava "pre-shared key". Postavili ste bežičnu zaporku na ruteru, a zatim navedite istu zaporku na svakom uređaju koji se povezujete s Wi-Fi mrežom. To u osnovi pruža lozinku koja štiti Wi-Fi mrežu od neovlaštenog pristupa. Usmjerivač izvodi ključ za šifriranje iz zaporke koja koristi za šifriranje vašeg bežičnog mrežnog prometa kako bi se osiguralo da ljudi bez ključa ne mogu prisluškivati na njoj.
Ovo može biti malo nezgodno jer morate unijeti zaporku na svaki novi uređaj koji povezujete. Wi-Fi Protected Setup( WPS), stvoren je za rješavanje ovog problema. Kada se povežete s usmjerivačem koji ima omogućen WPS, vidjet ćete poruku da možete upotrijebiti lakši način povezivanja umjesto unosa zaporke za Wi-Fi.
Zašto je zaštićeno Wi-Fi postavljanje nesigurno
Postoji nekoliko različitih načina za implementaciju postavki zaštićene Wi-Fi mrežom:
PIN : usmjerivač ima osmeroznamenkasti PIN koji morate unijeti na svoje uređaje za povezivanje. Umjesto da provjerite cijeli osmeroznamenkasti PIN istodobno, usmjerivač provjerava prve četiri znamenke zasebno od posljednje četiri znamenke. To čini WPS PIN-ove vrlo lako za "brute force" nagađanjem različitih kombinacija. Postoji samo 11.000 mogućih četveroznamenkastih šifri, a jednom kada se softver brute force dobije prve četiri znamenke, napadač može prebaciti na preostale znamenke. Mnogi potrošački usmjerivači ne odustaju od pogrešnog WPS PIN-a, što dozvoljava napadačima da nagađaju iznova i iznova. PIN WPS-a može biti brutalno prisiljen oko jedan dan.[Izvor] Svatko može koristiti softver pod nazivom "Reaver" da ispuni WPS PIN.
Push-Button-Connect : Umjesto da unesete PIN ili lozinku, možete jednostavno pritisnuti fizički gumb na usmjerivaču nakon pokušaja povezivanja.(Gumb također može biti softverski gumb na zaslonu za postavljanje.) To je sigurnije, jer se uređaji mogu povezati s tom metodom nekoliko minuta nakon pritiskanja gumba ili nakon povezivanja pojedinačnih uređaja. Neće biti aktivno i na raspolaganju za iskorištavanje svih vremena, kao WPS PIN.Pritiskanje gumba za povezivanje izgleda uglavnom sigurno, a jedina je ranjivost da svatko s fizičkim pristupom routeru može pritisnuti gumb i povezati se, čak i ako nisu znali zaporku za Wi-Fi.
PIN je obavezan
Dok je gumb za spajanje s gumbima pritisak siguran, metoda PIN provjere je obavezna, osnovna metoda koju svi certificirani WPS uređaji moraju podržavati. Točno - WPS specifikacija zahtijeva da uređaji moraju implementirati najsigurniju metodu provjere autentičnosti.
Proizvođači usmjerivača ne mogu riješiti ovaj sigurnosni problem jer WPS specifikacija poziva na nesiguran način provjere PIN-ova. Bilo koji uređaj koji će implementirati Wi-Fi Protected Setup sukladan specifikaciji bit će ranjiv. Samu specifikaciju nije dobro.
Možete li onemogućiti WPS?
Postoji nekoliko različitih vrsta usmjerivača vani.
- Neki usmjerivači ne dopuštaju onemogućavanje WPS-a, što ne pruža nikakvu mogućnost u konfiguracijskim sučeljima.
- Neki usmjerivači omogućuju onemogućivanje WPS-a, ali ova opcija ne radi ništa i WPS je još uvijek omogućen bez vašeg znanja. U 2012. godini ovaj je nedostatak pronađen na "svakoj Wireless Access Point pristupnoj točki Linksys i Cisco Valet." [Izvor]
- Neki usmjerivači će vam omogućiti da onemogućite ili omogućite WPS, bez mogućnosti odabira načina provjere autentičnosti.
- Neki usmjerivači će vam omogućiti da onemogućite provjeru autentičnosti WPS-a na temelju PIN-a, a istodobno koristite gumb za potvrdu pomoću gumba.
- Neki usmjerivači uopće ne podržavaju WPS.To su vjerojatno najsigurniji.
Kako onemogućiti WPS
Ako vaš usmjerivač omogućuje onemogućavanje WPS-a, vjerojatnije ćete pronaći ovu opciju pri Wi-Fi Protected Setup ili WPS-u u web-based konfiguracijskom sučelju.
Treba barem onemogućiti opciju provjere autentičnosti PIN-a. Na mnogim uređajima moći ćete odabrati samo hoćete li omogućiti ili onemogućiti WPS.Odaberite onemogućiti WPS ako je to jedini izbor koji možete napraviti.
Bili bismo malo zabrinuti što je WPS omogućen, čak i ako izgleda da je PIN onemogućen. S obzirom na strašan zapis proizvođača usmjerivača kada je riječ o WPS-u i drugim nesigurnim značajkama kao što je UPnP, nije li moguće da će neke implementacije WPS-a nastaviti s provođenjem autentifikacije PIN-a, čak i kad bi se činilo da je onemogućen?
Naravno, teoretski možete biti sigurni s omogućenim WPS-om dokle god je autentičnost bazirana na PIN-u onemogućena, ali zašto riskirati? Sve WPS uistinu omogućuje da se lakše povežete s Wi-Fi mrežom. Ako stvorite lozinku koju možete jednostavno zapamtiti, trebali biste se moći povezati jednako brzo. I ovo je samo problem prvi put - nakon što jednom spojite uređaj, ne biste trebali to ponoviti. WPS je strašno rizično za značajku koja nudi takvu malu korist.
Image Credit: Jeff Keyzer na Flickr