Guide: Sätta upp ett säkert trådlöst nätverk
Guide: Sätta upp ett säkert trådlöst nätverk.
Hej, jag tänkte här gå igenom lite saker man bör tänka på och vara medveten om när man sätter upp ett trådlöst nätverk hemma.
Det första man bör tänka på är att (min titel till trots) ett trådlöst nätverk aldrig är säkert. Att all data skickas ut i en stor radie till alla som känner för att lyssna gör att man aldrig bör ha nån form av känslig data på ett trådlöst nät.
Har du något väldigt känsligt på ditt nätverk bör du dra kablar istället!
Val av Accesspunkt
En Accesspunkt är den enhet som håller uppe hela det trådlösa nätverket och som alla enheter som vill vara en del av nätverket ansluter till.
Jag tänker inte gå in närmare på hur du väljer en accesspunkt då det finns hundratals olika modeller med olika hastigheter och så vidare.
Ta reda på vad du har för krav på din accesspunkt gällande hastighet och räckvidd osv och posta på ett forum så får du snabbt hjälp att hitta en bra.
Val av SSID
Det första du bör välja är ett bra SSID, alltså namnet på ditt nätverk.
Det man bör tänka på här är att inte välja något "vanligt" namn, tex. "default", "d-link", "linksys" och andra standardnamn skall undvikas då SSIDt är med i framtagandet av nätverksnyckeln i många av krypteringarna därför finns det många färdiguträknade nycklar för dessa nätverksnamn.
Du bör alltså komma på ett namn som ingen annan kan tänkas döpa sitt nät till eller iallafall inte kan tänkas finns med bland dom top 1000 vanligaste SSIDna som du kan hitta här.
SSID Broadcast
Den här funktionen finns på det flesta accesspunkter och styr om man vill att nätet skall annonseras ut, dvs dyka upp när folk söker efter trådlösa nät i närheten. Många tycker om att stänga av detta för att göra ens nät 'osynligt' för andra. Men detta är egentligen en falsk säkerhet då det är väldigt enkelt för någon som letar att upptäcka nätet ändå och framförallt är detta en stor säkerhetsrisk för din egna dator då den hela tiden kommer skicka ut förfrågningar ifall detta nät finns i närheten vilket gör det möjligt att sätta upp falska nät som din dator luras in på vilket öppnar för så kallade man-in-the-middle attack. Sen brukar också en del enheter krångla när man försöker ansluta dem till ett dolt nätverk.
Därför är det starkt rekommenderat att inte dölja sitt SSID.
Val av Kanal
Härnäst skall vi välja en kanal som din accesspunkt skall kommunicera på.
Accesspunkter pratar med radiovågor (2,4Ghz bandet och vissa även 5Ghz bandet) och fungerar lite som komradios. Så fort någon enhet på nätverket sänder så kan ingen annan enhet som ligger på samma kanal sända samtidigt.
Detta gör att har du en granne som också har ett trådlöst nätverk och ni båda har valt att jobba på samma kanal så kommer den enes hela nät få vänta på att enheten på det andra nätet pratat klart innan den kan börja sända även om ni alltså har två helt åtskilda nät. Detta försämrar prestandan på hela nätet och det vill man såklart undvika.
2,4Ghz bandet som är det vanligaste idag har totalt 14 kanaler att välja mellan av vilka 3 inte överlappar varandra. Dessa kanaler är 1, 6 och 11, deras specifika frekvens kan ses här:
Källa: Wikipedia
OBS, Kanal 14 är lite speciell då den i princip enbart används i Japan, få europeiska produkter kan använda denna kanal.
Nu gäller det alltså att välja en kanal som inte används eller som så få som möjligt använder.
När man köper ett löst trådlöst nätverkskort så får man ofta med nån programvara till denna för att hitta och ansluta till trådlösa nät, dessa kan ofta också kunna visa signalstyrkan och kanalen på näten i din närhet när man scannar efter dom.
Windows inbyggda tjänst för att hitta nät gör det tyvärr inte.
Finns dock bra gratisprogram som kan göra detta, bland annat inSSIDer som funkar utmärkt i Vista/Win7 och ger en mycket bra översiktsbild över vilka kanaler som är upptagna. Detta program kan laddas ned här: http://www.metageek.net/products/inssider
När vi scannat vår omgivning och har vår lilla lista med nät och kanaler dom använder så ser vi exemplet här ovan att det är ett antal nät på kanal 1, ett på kanal 6 och på kanal 11 är det helt tomt.
Då väljer vi kanal 11 där det iallafall just nu inte finns några andra nät som kan störa vårt eget.
OBS!
Om du tex. har 3 grannar som använder kanal 1, 6 och 11 respektive så bör du inte försöka välja en kanal i mitten av dom utan välj då istället samma kanal som någon av dom.
I annat fall kan din AP råka missa när en annan AP sänder eftersom dom inte ligger på precis samma kanal och då får du krockar om flera APs sänder samtidigt vilket kan ge sämre prestanda en när du får vänta på att den andra APn sänt klart.
Val av Kryptering
En modern accesspunkt idag klarar en hel hög krypteringar, dom vanligaste är WEP, WPA Personal (ibland kallat WPA-PSK), WPA Enterprise, WPA2 Personal (ibland kallat WPA2-PSK) och WPA2 Enterprise.
WEP är en gammal svag kryptering som inte skall användas under några omständigheter, den är så svag att det går att få tag i nyckeln till nätverket på under 1 minut oavsett vad du valt att sätta för nyckel, för en person som kan googla lite på nätet är ett WEP krypterat nät i princip samma sak som ett helt öppet nät.
WPA Personal är en betydligt säkrare kryptering men som ändå innehåller en del svagheter. Anledningen till att man välja denna är ifall man har vissa enheter i nätet som inte stödjer WPA2.
WPA2 Personal är det bästa alternativet i dagsläget, så länge alla enheter du tänker ansluta till nätet stödjer detta så skall du köra WPA2.
WPA/WPA2 Enterprise är ett serverbaserat alternativ ämnat för företag och inget man sätter upp i nätverk hemma.
När du nu valt WPA eller WPA2 kommer du också få välja vilket säkerhetsprotokoll du vill använda, vanligtvis finns det TKIP och AES att välja på. Här väljer vi AES som är ett mycket säkert säkerhetsprotokoll. TKIP i kombination med WPA har en del brister och skall undvikas.
Val av Nätverksnyckel
När du väljer din nyckel eller lösenord till ditt nätverk så gäller samma regler som när du väljer lösenord till vad som helst, alltså blandade siffror, bokstäver och specialtecken. Se gärna till att klämma in åäö någonstans också då väldigt få bruteforecing (bruteforce = när man låter sin dator testa alla olika kombinationer av siffror och bokstäver för att hitta det korrekta lösenordet) program letar efter dessa tecken även om man väljer att inkludera specialtecken.
En WPA/WPA2 nyckel måste vara minst 8 tecken lång, jag skulle rekommendera 10 tecken eller fler, då kan inte ens en datorfarm modell större knäcka nyckeln inom någon rimlig tid. Den enda effektiva attacken mot ett sånt här nät är ordlistor, därför vill jag igen understryka att man inte bör använda något ord, även modifierat med till exempel siffror istället för vissa bokstäver då många ordlister redan har med sådana alternativ.
Fullständigt slumpade tecken är det enda som är helt säkert, till skillnad från andra lösenord kan man dock utan större risk skriva ner lösenordet till sitt nätverk och spara vid datorn för att enkelt kunna visa för gäster som vill få tillgång till ditt nät eftersom någon som illvilligt vill ta sig in på ditt nät troligen aldrig kommer att besöka ditt hem.
Övrig säkerhet
Nu har vi satt upp ett relativt säkert trådlöst nät som man inte kan bryta sig in på i första taget. Det finns dock lite andra småsaker för ytterligare säkerhet som kan vara bra att använda sig av.
Lösenord till Accesspunkten
Något man inte får glömma är att ändra lösenordet för att ändra inställningarna till själva accesspunkten. Se till att välja ett säkert lösenord även här.
MAC-lås
Varje enskilt nätverkskort har en egen unik MAC adress som används när dom kommunicerar. De flesta accesspunkter idag kan välja att låsa så enbart vissa MAC adresser tillåts på nätverket. Detta är också en falsk säkerhet. Funktionen är från början gjord för trådade nätverk där man inte kan så någon trafik innan man kommer in på nätverksenheten och således inte vet vilka MAC-adresser som tillåts. Denna funktion har man helt enkelt flyttat över till trådlösa enheter också utan att tänka efter ordentlig. Eftersom trådlösa enheter skickar ut all data över radio till alla som vill lyssna är det en mycket enkel match att helt enkelt lyssna i luften och se vilka MAC-adresser som använder nätet, sedan helt enkelt byta din egen MAC-adress till någon av dessa och surfa fritt. Det är också jobbigt att behöva manuellt lägga till adressen på sin kompis mobil eller laptop som skall få ansluta till nätet.
Hela funktionen innebär bara mer jobb och tillför ingen säkerhet.
WPS
WPS som står för Wifi Protected Setup är en funktion som började läggas till på de flesta hemmaroutrar under 2008 och skall underlätta för användare att konfigurera upp sitt trådlösa nätverk. Tyvärr är de allra flesta implementationer av funktionen mycket dålig och utgör en stor säkerhetsrisk. PIN-koden som man använder för att styra sin router är ganska lätt att bruteforcea. När man väl fått fram PIN-koden för WPS kan man sen bara fråga accesspunkten vilket nätverksnamn och vilket lösenord den använder vilket gör att alla annan säkerhet faller.
Se därför till att stänga av denna funktion om möjligt. Tyvärr finns det faktiskt en del routrar (bland annat Linksys) där man ser ut att kunna stänga av funktionen men som helt enkelt inte gör det. Sårbarheten finns fortfarande kvar och kan utnyttjas trots att man valt att deaktivera WPS i webbinterfacet.
ACK Timing
Den här funktionen finns sällan på accesspunkter men skulle du hitta den så är den lite praktisk. Den låter dig ställa in hur långt bort från accesspunkten man får befinna sig och kontrollerar det genom att mäta tiden det tar för vissa paket att komma till accesspunkten och tillbaka.
Detta hindrar folk från att använda kraftfulla riktade antenner för att komma åt ditt nätverk på långt avstånd.
Cisco-certifierad nätverksspecialist
Bygger globalt spelservernätverk på dathost.net