Kodėl namų WiFi yra silpniausia grandis
Daugelis žmonių galvoja apie namų WiFi tinklą maždaug taip: įsijungei, veikia, gerai. Slaptažodis kažkoks yra, maršrutizatorius stovi kambario kampe ir dulka, o visa kita – ne tavo reikalas. Bet štai čia ir slypi problema. Namų bevielis tinklas šiandien yra vienas labiausiai pažeidžiamų taškų visoje tavo skaitmeninėje kasdienybėje – ir ne todėl, kad technologija bloga, o todėl, kad žmonės tiesiog nesigilina į tai, ką turi po ranka.
Pagalvok, kiek įrenginių šiuo metu jungiasi prie tavo namų tinklo. Telefonai, planšetės, nešiojamieji kompiuteriai, galbūt išmanusis televizorius, gal net šaldytuvas ar dulkių siurblys. Kiekvienas iš jų yra potencialus įėjimo taškas. Ir jei tinklas nėra tinkamai apsaugotas, kažkas iš lauko – kaimynas, praeivis, arba visai ne iš šio kvartalo žmogus – gali pabandyti tuo pasinaudoti.
Tai nėra paranoja. Tai tiesiog realybė, kurioje gyvename. Gerai tai, kad apsisaugoti nėra taip sudėtinga, kaip gali atrodyti iš pirmo žvilgsnio.
Slaptažodis – ne tik formalumas
Pradėkime nuo pačių pagrindų, nes čia klaidų padaroma daugiausia. WiFi slaptažodis – tai pirma gynybos linija, ir ji dažnai būna tragiška. „12345678″, „password”, „namuwifi” arba operatoriaus nustatytas gamyklinis slaptažodis, kuris kartais atspausdintas ant paties maršrutizatoriaus – visa tai yra beveik tas pats, kas neturėti slaptažodžio iš viso.
Geras WiFi slaptažodis turėtų būti:
- Ne trumpesnis nei 12–16 simbolių
- Sudarytas iš raidžių (didžiųjų ir mažųjų), skaičių ir specialiųjų simbolių
- Neturėti jokios akivaizdžios prasmės – ne tavo gimtadienis, ne šuns vardas, ne gatvės pavadinimas
- Unikalus – nenaudotas kitur
Žinau, žinau – sunku prisiminti. Bet štai vienas praktiškas triukas: sugalvok ilgą frazę, kuri tau kažką reiškia, ir paversk ją slaptažodžiu. Pavyzdžiui, „Mano katė Murkė mėgsta žuvį 2024!” tampa kažkuo panašiu į „MkMmž2024!” – tai jau visai rimtas slaptažodis, kurį galima ir atsiminti.
Taip pat labai svarbu pakeisti maršrutizatoriaus administravimo skydelio slaptažodį. Tai atskiras slaptažodis nuo WiFi – juo jungiesi prie paties maršrutizatoriaus nustatymų. Gamyklinis dažniausiai būna „admin/admin” arba „admin/password”. Jei to nepakeitei, bet kas, prisijungęs prie tavo tinklo, gali pilnai valdyti tavo maršrutizatorių.
WPA3, WPA2 ir visa ta raidžių sriuba
Šifravimo protokolai – tai tema, kuri daugeliui atrodo pernelyg techninė, bet iš tikrųjų čia viskas gana paprasta, jei paaiškini be perteklinio žargono.
Tavo WiFi tinklas gali naudoti skirtingus apsaugos protokolus. Seniausi – WEP ir WPA – šiandien yra praktiškai beverčiai. Juos nulaužti galima per kelias minutes net su paprastais įrankiais. WPA2 yra standartinis šiandieninis minimumas – jei tavo maršrutizatorius naudoja WPA2 su AES šifravimu, tai jau kažkas. Bet jei įrenginys palaiko WPA3 – rinkis jį.
WPA3 yra naujausias standartas, kuris ženkliai pagerina apsaugą, ypač nuo vadinamųjų „žodyno atakų” – kai bandoma atspėti slaptažodį išbandant tūkstančius žodžių kombinacijų. Su WPA3 net ir silpnesnis slaptažodis tampa sunkiau įveikiamas, nors tai nereiškia, kad gali leisti sau tingėti su slaptažodžio kūrimu.
Kaip patikrinti, ką naudoji? Prisijunk prie maršrutizatoriaus administravimo skydelio (dažniausiai adresu 192.168.1.1 arba 192.168.0.1 naršyklėje), surask bevielio tinklo nustatymus ir pažiūrėk į saugumo skiltį. Jei matai WEP arba WPA (be skaičiaus) – tai rimtas signalas keisti nustatymus arba net maršrutizatorių.
Svečių tinklas – ne tik patogumo reikalas
Čia yra vienas iš tų patarimų, kurie atrodo kaip smulkmena, bet iš tikrųjų gali labai daug ką pakeisti. Svečių tinklas – tai atskiras WiFi, kurį sukuri svečiams, draugams, giminaičiams. Jis veikia lygiagrečiai su pagrindiniu tinklu, bet yra nuo jo atskirtas.
Kodėl tai svarbu? Nes kai draugas ateina pas tave ir prašo WiFi slaptažodžio, tu nežinai, ar jo telefonas nėra užkrėstas kažkokia kenkėjiška programa. Galbūt jis pats to nežino. Jei jis prisijungia prie tavo pagrindinio tinklo, ta programa teoriškai gali pradėti „šnipinėti” kitus tinkle esančius įrenginius.
Svečių tinkle įrenginiai paprastai negali „matyti” vienas kito ir negali pasiekti pagrindinio tinklo įrenginių. Tai vadinama tinklo izoliacija. Praktiškai tai reiškia, kad net jei kažkas prisijungia prie svečių tinklo su užkrėstu įrenginiu, žala lieka minimali.
Svečių tinklą galima sukurti beveik visuose šiuolaikiniuose maršrutizatoriuose – tiesiog rask atitinkamą skiltį nustatymuose. Ir dar vienas patarimas: svečių tinklui taip pat nustatyk gerą slaptažodį. Jis neturi būti toks pat kaip pagrindinio tinklo, bet ir „sveciai123″ tikrai nebus.
Maršrutizatoriaus programinė įranga – pamiršta detalė
Maršrutizatorius yra kompiuteris. Nedidelis, bet kompiuteris. Ir kaip kiekvienas kompiuteris, jis turi operacinę sistemą – firmware. Ir kaip kiekviena operacinė sistema, ji turi saugumo spragas, kurias gamintojai periodiškai tvarso atnaujinimais.
Problema ta, kad dauguma žmonių niekada neatnaujina maršrutizatoriaus programinės įrangos. Jie perka įrenginį, nustato, ir pamiršta. O tuo tarpu gamintojas išleidžia atnaujinimus, kurie tvarso rimtas saugumo spragas – kartais tokias, per kurias galima perimti visą tinklo valdymą.
Ką daryti:
- Prisijunk prie maršrutizatoriaus administravimo skydelio ir surask firmware atnaujinimo skiltį
- Patikrink, ar yra naujesnė versija – daugelis šiuolaikinių maršrutizatorių tai daro automatiškai
- Jei maršrutizatorius senas (daugiau nei 5–7 metai) ir gamintojas nebeteikia atnaujinimų – rimtai svarstyk apie pakeitimą
- Jei įrenginys palaiko automatinį atnaujinimą – įjunk šią funkciją
Taip pat verta žinoti, kad kai kurie interneto tiekėjai suteikia maršrutizatorius, kuriuos jie patys valdo ir atnaujina. Tai gali būti patogiau, bet kartu reiškia, kad tiekėjas turi prieigą prie tavo tinklo nustatymų. Čia jau kiekvienas sprendžia pagal savo komforto lygį.
Tinklo pavadinimas, kuris neišduoda tavęs
SSID – tai tavo WiFi tinklo pavadinimas, kurį matai, kai ieškai tinklų telefone. Daugelis žmonių palieka gamyklinį pavadinimą (pvz., „TP-Link_2A4F” arba „ASUS_Router”) arba pervadina kažkuo asmenišku, kaip „Petrauskai” arba „Buto 14 WiFi”.
Abu variantai turi savo problemų. Gamyklinis pavadinimas išduoda maršrutizatoriaus modelį – o tai reiškia, kad potencialus užpuolikas žino, kokias spragas ieškoti. Asmeninis pavadinimas išduoda, kas čia gyvena.
Geriausia praktika – neutralus, neinformatyvus pavadinimas. Kažkas kaip „Tinklas5G” arba „HomeNet” – nieko neišduoda apie tave ar įrenginį. Kai kurie ekspertai rekomenduoja net visai paslėpti SSID (tinklas nebematomas sąraše), bet tai tik minimaliai padidina saugumą ir gerokai apsunkina prisijungimą – tad tai labiau asmeninis pasirinkimas nei būtinybė.
Dar vienas dalykas – jei turi galimybę, atskirk 2.4 GHz ir 5 GHz tinklus skirtingais pavadinimais. Taip lengviau valdyti, kurie įrenginiai jungiasi prie kurio tinklo. Išmanieji namų įrenginiai (lemputės, termostatai) dažnai veikia tik 2.4 GHz – juos galima laikyti atskirame tinkle, o kompiuterius ir telefonus jungti prie greitesnio 5 GHz.
VPN namuose – kada tai prasminga
VPN – virtualus privatus tinklas – tai įrankis, kuris šifruoja tavo interneto srautą ir slepia tikrąjį IP adresą. Apie VPN kalbama daug, bet ne visada tiksliai.
Namuose VPN naudojimas yra prasmingesnė tema nei atrodo. Yra du pagrindiniai scenarijai:
VPN programėlė įrenginyje – instaliuoji programą į telefoną ar kompiuterį, ji šifruoja srautą tarp tavo įrenginio ir VPN serverio. Tai ypač naudinga, kai jungiesi prie viešų WiFi tinklų (kavinėse, oro uostuose), bet namuose, kur tinklas jau apsaugotas, nauda kiek mažesnė – nebent nori slėpti veiklą nuo interneto tiekėjo.
VPN maršrutizatoriuje – tai jau rimtesnis sprendimas. Sukonfigūruoji VPN tiesiai maršrutizatoriuje, ir tada visi tinklo įrenginiai automatiškai naudoja VPN, net jei pačiame įrenginyje nieko neinstaliuota. Tai ypač naudinga, jei turi daug išmaniųjų namų įrenginių, kurių programinės įrangos negali kontroliuoti.
Renkantis VPN paslaugą, verta atkreipti dėmesį į: ar paslaugos teikėjas saugo veiklos žurnalus (logs), kokioje šalyje registruotas, ar yra nepriklausomi saugumo auditai. Nemokamos VPN paslaugos dažnai uždirba pardavinėdamos tavo duomenis – tai šiek tiek ironiškai prieštarauja pačiai VPN idėjai.
Kai saugumas tampa kasdienybe, o ne vargu
Visa tai, kas parašyta aukščiau, gali skambėti kaip ilgas darbų sąrašas, bet iš tikrųjų tai – vienkartinės pastangos, kurios vėliau veikia savaime. Pakeiti slaptažodžius, patikrinti šifravimo protokolą, sukurti svečių tinklą, įjungti automatinius atnaujinimus – visa tai užtrunka gal valandą, gal dvi. Ir tada gali ramiai gyventi.
Svarbu suprasti, kad namų tinklo apsauga nėra apie tai, kad kažkas konkrečiai taikosi į tave asmeniškai. Dažniausiai tai yra automatizuoti skeneriai, kurie tiesiog ieško silpnų taškų – kaip vanduo, kuris ieško plyšių. Jei tavo tinklas yra gerai apsaugotas, skeneris praeis pro šalį ir eis toliau. Jei ne – gali tapti statistika.
Praktinis planas, kurį galima įgyvendinti šiandien: pirmiausia pakeisk maršrutizatoriaus administravimo slaptažodį, tada WiFi slaptažodį, patikrink šifravimo protokolą ir atnaujink firmware. Tai keturi žingsniai, kurie iš karto pakelia tavo tinklo saugumą į visai kitą lygį. Svečių tinklas ir VPN – tai jau papildomi sluoksniai, prie kurių galima prieiti vėliau, kai bus noras ir laiko.
Bevielis internetas namuose turėtų būti kaip geras spyna ant durų – nematoma, netrukdanti, bet veikianti. Ir lygiai kaip nekeistum durų spynos tik tada, kai kažkas jau įsilaužė, tinklo saugumu verta pasirūpinti kol viskas dar ramu. Nes vėliau gali būti per vėlu.
