Często wydaje nam się, że nie ma bezpieczniejszego Internetu niż gdy korzystamy z WiFi. Skoro go nie widać to przecież nikt nie może się do niego dostać. Nic bardziej mylnego. To właśnie tradycyjne połączenie za pomocą kabla ethernetowego jest lepsze pod tym względem. Dzieje się tak, gdyż nasze dane dosłownie latają w powietrzu i każdy chętny może je złapać i wykorzystać. Skoro nie wyobrażamy sobie działania firmy bez Internetu spróbujmy zrobić wszystko by pracownicza sieć bezprzewodowa była odporna na ataki z zewnątrz.
Jak zadbać o bezpieczeństwo WiFi w małej firmie – oto porady z których powinna skorzystać każda firma
Spis treści
- Standardowo przy zakupie routery i urządzenia zwane access pointami
- W przeglądarce wpiszcie 192.168.0.1,
- Poznajcie opcje ochrony waszej sieci WiFi
- Tryb Personal jest łatwiejszy w konfiguracji,
- Tryb Enterprise jest bardziej złożony i wymaga osobnego serwera,
- Kiedy wybierzcie WPA2-Personal dla waszego WiFi.
- Jeśli to za mało skorzystajcie z WPA2-Enterprise.
- Stwórzcie osobną sieć dla gości.
- Pamiętajcie o ochronie fizycznej sprzętu.
- Zabezpieczcie połączenia WiFi poza biurem za pośrednictwem modułu VPN.
- Zapewnijcie szyfrowanie stronom, gdy jesteście poza biurem.
- Kupujcie z głową.
Standardowo przy zakupie routery i urządzenia zwane access pointami
(po polsku punkty dostępu, jednakże na co dzień nie jest używana za często ta nazwa) nie posiadają żadnego zabezpieczenia chroniącego sieć bezprzewodową. W najlepszym przypadku obca osoba będzie używać waszego łącza i je obciążać. W najgorszym łatwo może uzyskać dostęp do waszych plików czy przechwycić hasła, które nie są dodatkowo zabezpieczone na stronie modułem SSL. Do takich miejsc należą konta pocztowe czy portale społecznościowe.
Aktualnie wiele firm dostarczających Internet przy konfiguracji sprzętu ustawia leciwe szyfrowanie i nadaje hasło do sieci. Lepsze to niż nic, ale warto zainteresować się bardziej wysublimowanymi metodami.
W przeglądarce wpiszcie 192.168.0.1,
następnie podajcie login: admin, hasło: admin. W większości przypadków dla nowego sprzętu takie są dane podczas pierwszego logowania by dostać się do opcji urządzenia. Warto w pierwszej kolejności zmienić hasło administratora. Co robić dalej znajdziecie poniżej.
Poznajcie opcje ochrony waszej sieci WiFi
Najczęściej będzie mieć d wyboru trzy poziomy szyfrowania: WEP, WPA oraz WPA2. WEP (z ang. Wired Equivalent Privacy) to najsłabszy z nich. Zatrzyma tylko osoby, które nie są zbyt biegłe w uzyskiwaniu dostępu do sieci WiFi. WPA (z ang. Wi-Fi Protected Access) występuje w dwóch wersjach. Pierwszej – podstawowej i drugiej zapewniającej najwyższy standard wynaleziony do tej pory. Obie wersje mogą występować w dwóch opcjach: Personal oraz Enterprise, co również często będziecie mogli wybrać w opcjach urządzenia.
Tryb Personal jest łatwiejszy w konfiguracji,
ale jest bardzo podatny na ataki typu brute force. To znaczy, że łatwo można odgadnąć wasze hasło na podstawie słów kluczowych i metody słownikowej. Co zrobić? Stworzyć hasło nie oparte na żadnych słowach i sprawić by było odpowiednio długie.
Nie jest on jednak zalecany dla firm, gdzie jest więcej niż kilku pracowników. W tym przypadku wszyscy oni posiadają jedno hasło i może być to kłopotliwe, gdy któryś z nich zostanie zwolniony. Oczywiście można je zmienić, ale trzeba wtedy konfigurować wszystkie pozostałe urządzenia.
Tryb Enterprise jest bardziej złożony i wymaga osobnego serwera,
ale w zamian daje dużo większe bezpieczeństwo sieci. W tym przypadku każdy pracownik otrzymuje indywidualny login i hasło. Uniemożliwia również „podglądanie” co robią jedni użytkownicy przez drugich. Nie daje możliwości przejęcia haseł.
Jeśli nie wiecie czy wasza sieć posiada zabezpieczenia otwórzcie listę dostępnych WiFi najedźcie na tę używaną przez was i poczekajcie chwilę. Otworzy się okienko w którym powinno być napisane jakiego szyfrowania (jeśli w ogóle) używacie.
Kiedy wybierzcie WPA2-Personal dla waszego WiFi.
To najlepsze co możecie zrobić na początku. Po wyborze tego rodzaju szyfrowania musicie podać hasło dla sieci. Pamiętajcie by było długie, zawierało małe i duże litery, cyfry oraz znaki specjalne. Jeśli to możliwe unikajcie słów z dowolnego z języków. Koniecznie zróbcie to samo na wszystkich routerach w firmie by ujednolicić dostęp. Dzięki temu poruszając się z laptopem po biurze nigdy nie stracicie połączenia z Internetem.
Jeśli to za mało skorzystajcie z WPA2-Enterprise.
Aby zacząć pracę potrzebujecie serwera typu RADIUS. Umożliwia on wymagane uwierzytelnianie 802.1X i to tutaj zapiszecie wszystkie dane logowania użytkowników, jakim dacie dostęp do WiFi. Jeśli nie macie doświadczenia z serwerami zainteresujcie się hostingiem bądź zakupcie accesc pointy z wbudowanym serwerem.
Gdy już skonfigurujcie serwer musicie ustawić wszystkie inne urządzenia w sieci lokalnej. Aby to zrobić musicie podać adres IP waszego serwera skąd będziecie pobierać dane użytkowników.
Stwórzcie osobną sieć dla gości.
Nigdy nie pozwalajcie by obca osoba korzystała z waszej wewnętrznej sieci. Jeśli chcecie zapewnić gościom dostęp do Internetu stwórzcie osobne połączenie WiFi, tak by nie byli w stanie w żaden sposób zyskać dostępu do plików i haseł firmy. Rozważcie zakup osobnego sprzętu tylko do tego celu. Możliwe, iż potrzebujecie Internetu dla osób z zewnątrz tylko w jednym miejscu w firmie? Niektóre urządzenia posiadają również opcję utworzenia WiFi dla gości, rozważcie ich zakup. Konfigurując tę sieć możecie swobodnie użyć opcji WPA2-Personal przy szyfrowaniu.
Jeśli jednak chcecie mieć kontrolę nad jej użytkownikami nadawajcie dostępy dla każdego z gości osobno w stworzonej sieci z zabezpieczeniami WPA2-Enterprise. Do tego jednak będzie niezbędny osobny serwer RADIUS.
Pamiętajcie o ochronie fizycznej sprzętu.
Nie zapominajcie o zabezpieczeniu infrastruktury przed dostępem dla osób z zewnątrz. Sieć może być najlepiej zabezpieczona na świecie, ale jeśli pozwolimy się komuś fizycznie wpiąć kablem do naszego routera to na nic się to zda. Aby temu zapobiec zamontuj urządzenia wysoko na ścianach bądź pod sufitem. Raczej łatwo zauważyć człowiek stojącego na krześle z kablem zwisającym z sufitu. Jeśli posiadacie gniazda ethernetowe w ścianie sprzętowo odłączcie te nieużywane. Możecie również zezwalać na dostęp tylko urządzeniom z zapisanymi adresami MAC kart sieciowych. Jeśli posiadacie szafę z serwerami upewnijcie się, że jest dobrze zamknięta i zabezpieczona.
Zabezpieczcie połączenia WiFi poza biurem za pośrednictwem modułu VPN.
Jeśli używacie firmowego sprzętu poza biurem musicie zakładać, że darmowe WiFi nie są zaufane. Aby zapewnić sobie bezpieczeństwo możecie za pomocą VPN (z ang. virtual private network) połączyć się z waszą firmową siecią.
Przy pomocy takiego tunelu będziecie korzystać wyłącznie z zabezpieczonej sieci w pracy. To znaczy, że żadni „podsłuchujący” nie przechwycą tego co faktycznie robicie w Internecie. Jeśli nie możecie korzystać z pracowniczego VPN rozważnie usługi hostingowe, które zapewnią wam wymagane bezpieczeństwo.
Zapewnijcie szyfrowanie stronom, gdy jesteście poza biurem.
Kolejnym sposobem na zapewnienie ochrony przesyłanych informacji jest próba ustawienia ręcznego szyfrowania. Choć większość banków czy stron zawierających dane wrażliwe zawiera szyfrowanie to już część portali społecznościowych czy serwisy pocztowe nie.
Aby sprawdzić, czy strona jest szyfrowana spróbujcie zamiast // wpisać https://. Jeśli strona się załaduje oraz pojawi się kłódka obok to znaczy, że strona jest szyfrowana. W przeciwnym razie wchodzicie na własne ryzyko. Desktopowe klienty poczty również posiadają opcję szyfrowania, warto ją włączyć. Znajdziecie ją w zaawansowanych ustawieniach danego konta.
Kupujcie z głową.
Na zakupach interesujcie się tym jakie dodatkowe funkcjonalności posiada sprzęt. Czasem warto dołożyć parę złotych by życie było łatwiejsze i bezpieczniejsze. To na co warto zwrócić uwagę, a pojawiło się w tekście to:
- czy sprzęt ma wbudowany serwer RADIUS.
- czy sprzęt umożliwia łatwe stworzenie dodatkowej sieci dla gości.
- czy sprzęt posiada wbudowany moduł VPN.
Nie bójcie się pytać sprzedawców. Na pewno wam pomogą. Warto jednak za takim sprzętem szukać w specjalistycznych sklepach ze sprzętem komputerowym niźli w marketach. Mamy nadzieję, że tekst rozjaśnił wam na co należy zwrócić uwagę przy tworzeniu firmowej sieci bezprzewodowej.
Zadbajcie również o bezpieczeństwo domowej sieci wifi. Tutaj dowiecie się jak to zrobić.
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Sprawdź AVG – antywirus dla biznesu. Idealny, jeżeli pracujesz z komputerem i potrzebujesz najlepszej ochrony.
Jakie są mniej więcej koszty takiego dobrego routera, który możecie polecić dla firmy? Czy jeśli to możliwe w danym pomieszczeniu bezpieczniej będzie podłączyć komputery kablem?
Zawsze bezpieczniej będzie kablem. Wtedy ryzyko złamania zabezpieczeń maleje, gdyż trzeba fizycznie uzyskać dostęp do sprzętu. Z routerów dla małej firmy poleciłbym:
NETGEAR NIGHTHAWK X8, D-LINK DIR-890L oraz ASUS RT-AC68U. Zależnie jakim dysponuje Pan budżetem 🙂
Bardzo mi się podobał ten artykuł.Dziękuję tym co go opracowali i z nami sie podzielili tymi wiadomościaami.Serdecznie pozdrawiam
Bardzo mnie to cieszy 🙂 Mam nadzieję, że inne teksty również okażą się przydatne.
Jakie są mniej więcej koszty takiego dobrego routera, który możecie polecić dla firmy? Czy jeśli to możliwe w danym pomieszczeniu bezpieczniej będzie podłączyć komputery kablem?
Zawsze bezpieczniej będzie kablem. Wtedy ryzyko złamania zabezpieczeń maleje, gdyż trzeba fizycznie uzyskać dostęp do sprzętu. Z routerów dla małej firmy poleciłbym:NETGEAR NIGHTHAWK X8, D-LINK DIR-890L oraz ASUS RT-AC68U. Zależnie jakim dysponuje Pan budżetem 🙂
Bardzo mi się podobał ten artykuł.Dziękuję tym co go opracowali i z nami sie podzielili tymi wiadomościaami.Serdecznie pozdrawiam
Bardzo mnie to cieszy 🙂 Mam nadzieję, że inne teksty również okażą się przydatne.