Manapság minden lakásban található Wi-Fi, hiszen a vezeték nélküli hálózat nagy kényelmet biztosít azzal, hogy a lakásban bárhol elérhetővé teszi az internetkapcsolatot - a telefonnal szabadon mozoghatsz a lakásban, de a tévé vagy a PC elhelyezésekor sem kell a kábelekhez igazodni. A másik oldalon ott van viszont hátrányként, hogy a rádióhullámokat nem állítja meg a fal; a Wi-Fi-re a lakáson kívül is bárki rácsatlakozhat, feltéve hogy ismeri az SSID-t és a hozzá tartozó jelszót. Egy modern Wi-Fi hálózat és a megfelelő biztonsági beállítások esetén ez persze nem téma, ha azonban a biztonsági szintet gyengére lövöd be, egyáltalán nem használsz titkosítást, vagy elfelejted megváltoztatni a router alapértelmezett jelszavát, akkor az otthoni hálózatod könnyen átjáróházzá változhat.
Ha valaki csatlakozik a hálózatodra, egyrészt lassítja azt, hiszen a te sávszélességedet használja - és ez még a jobbik eset. Ha esetleg a Wi-Fi-re csatlakozó más eszközök beállításai sincsenek rendesen megkonfigurálva, megeshet, hogy a Wi-Fi-n keresztül a te személyes adataidhoz is megnyílik a hozzáférés, szélsőséges esetben pedig, ha valaki mondjuk hackertámadást követ el a hálózatodra csatlakozva, akkor a rendőrség is nálad fog kopogtatni. Ebben a cikkben megnézzük, hogyan tudod ellenőrizni, hogy használják-e mások is a hálózatodat, és megmutatjuk, milyen beállításokra érdemes odafigyelni, ha maximális biztonságot szeretnél.
Így ismerd fel a betolakodókat
Van néhány jele annak, ha valaki lopja a Wi-Fi-det, de ezzel együtt is lehetnek olyan esetek, amikor nehéz észrevenni a turpisságot. Problémára utalhat,
- ha az internetes letöltési és/vagy feltöltési sebesség látszólagos indok nélkül csökken a megszokotthoz képest
- ha a számítógép vagy az okosotthon eszközök furcsán viselkednek (pl. egy lámpa magától bekapcsol)
- ha túlterhelt a router
- és persze az is, ha olyan eszköz jelenik meg a hálózaton, ami nem a tiéd.
A sebességet tudod mérni például a speedtest.net segítségével. Az eszközök furcsa viselkedését biztosan észreveszed, a router terheltségét és a csatlakozó eszközöket pedig a router kezelőfelületén tudod ellenőrizni. Lépj be a webes kezelőfelületre (amit általában a 192.168.0.1 vagy 192.168.1.1 címen érsz el).
A processzorterheltséget általában a System menüpontban tudod megnézni - viszont nem minden eszköz mutatja ezt az adatot. Ha arra gyanakszol, hogy a router túlterhelt, akkor jobb híján kézzel is ellenőrizheted a hőmérsékletét, ami nem szabad hogy kézmelegnél forróbb legyen. A túlterheltségre utalhat az is, ha a kezelőfelület a megszokottnál lassabban reagál.
Természetesen érdemes olyankor ellenőrizni a túlterheltséget, amikor a saját eszközöket nem használod. Rövid távon megoldást jelenthet egy gyors újraindítás, ha viszont a túlterheltség visszatérő jelenség, akkor vagy a router gyenge az otthoni hálózat igényeihez, vagy valaki tényleg lopja a netet.
Ha a processzor terheltségét nem is tudja minden router megmutatni, a csatlakozó eszközök listája minden útválasztóban ellenőrizhető, általában a Network | Devices, a Network Clients, a Network Map, a Network | DHCP vagy valamilyen hasonló útvonalon. A belépő szintű eszközök sokszor csak a MAC-címet és kiosztott IP-címet mutatják, a profibb routerek viszont az adott eszköz hálózati nevét is kilistázzák, így viszonylag egyszerű valamennyi, a listában található eszközt beazonosítani.
Érdemes az eszközök nevét, azok MAC-címét és a hozzájuk rendelt IP-címet egy táblázatban vezetni, így később ha megint ellenőrizni szeretnéd a csatlakozó kütyüket, akkor sokkal könnyebb dolgod lesz. Az eszközök ellenőrzése során a név támaszpont lehet, de nem életbiztosítás csak erre az adatra támaszkodni; hogy csak egy példát említsünk, a Philips légtisztítói például mxchip névvel csatlakoznak, és az okos fehéráruk esetében ez a "gondos" megközelítés sajnos jellemző.
Manapság nem ritka viszont, hogy egy háztartásban negyven-ötven vagy még ennél is több termék kapcsolódik a Wi-Fi-re, így a lista bogarászása hosszadalmas lehet. Jó trükk, ha a DHCP-szervert úgy állítod be, hogy a saját eszközöknek fix IP-címe legyen, emellett pedig korlátozod a dinamikusan kiosztott IP-címek tartományát. Egy jó stratégia az alábbi:
- a Wi-Fi router(ek) IP-címét fix-re állítod be úgy, hogy az utolsó szám 1-9 közé essen
- a szerver jellegű eszközök (NAS, okosotthon központ, nyomtató stb.) IP-címét fixre állítod be úgy, hogy az utolsó szám 10-99 közé essen
- az eszközök IP-címét fixre állítod be úgy, hogy az utolsó szám 100 és 199 közé essen
- a dinamikusan kiosztott IP-címtartományt pedig 200 és 255 között engedélyezed.
Ebben az elrendezésben az IP-cím alapján máris tudod, hogy az adott eszköz melyik kategóriába tartozik, de ami még fontosabb, hogy az összes olyan eszköz, aminek nincs fix IP-je, azaz például egy, a hálózatra betolakodó eszköz, 200 feletti IP-t kap. Azaz később, ha ellenőrizni szeretnéd, hogy van-e ismeretlen eszköz a hálózaton, első körben elég azt megnézni, hogy van-e olyan eszköz a hálózaton, aminek 200 feletti az IP-címe. (Ha arra gyanakszol, hogy van betolakodó, de nincs 200 feletti IP, akkor viszont át kell nézni minden egyes IP-címet, mert fix IP-t nemcsak a DHCP-szervernél lehet megadni, hanem eszközoldalon is.)
Mit tegyél, ha találtál "valamit/valakit"?
Ha ismeretlen eszközt találsz, első körben tiltsd ki a hálózatból - a funkciót MAC-filter vagy Access Control néven keresd a menüben. Kétféle stratégia közül választhatsz; mindkét esetben fel kell venni az eszköz(ök) MAC-címét egy listába, a stratégiák ott válnak el, hogy a listán lévő eszközöket tiltani vagy engedélyezni szeretnéd-e.
Tipp: bár kicsit több ideig tart, érdemes a MAC-szűrést úgy beállítani, hogy csak a listában szereplő MAC-címekkel engedje a csatlakozást.
Tipp: egyes routerek nemcsak MAC-szűrés tudják kint tartani az eszközöket, hanem erre a feladatra dedikált funkciót is kaptak.
Ha ezzel megvagy, változtasd meg a Wi-Fi jelszót is - tudjuk, hogy ez macerás, mert az összes otthoni kütyü beállításait is módosítani kell, de csak így garantálható, hogy nem tér vissza a betolakodó. Az új jelszó legalább 12, de inkább 16-20 karakter hosszú legyen! Egyúttal változtasd meg a Wi-Fi router kezelőfelületének jelszavát is!
Általános tippek
1. Kezdjük talán a legtriviálisabbal: a router, valamint az összes csatlakozó eszköz firmware-ét (vagy operációs rendszerét) tartsd frissen. A router esetében ez egyúttal azt is jelenti, hogy csak olyan útválasztót ajánlott használni, amelyre időnként érkeznek biztonsági frissítések - mivel egy jó minőségű router sem túlságosan drága, nem érdemes 10-15 éves kütyükkel bajlódni. Ha esetleg ilyet használsz, cseréld le olyanra, amelyik legalább a Wi-Fi 6-os szabványt ismeri. A régebbi termékekkel nemcsak az a probléma egyébként, hogy már nem készül hozzájuk frissítés, hanem az is, hogy a lassú processzor visszafoghatja a teljes infrastruktúra teljesítményét. Beüzemelést követően ne felejtsd el megváltoztatni a router gyári belépési adatait sem!
2. A Wi-Fi hálózat forgalmát mindenképpen titkosítsd; legalább WPA2-PSK-t állíts be, de ha van rá lehetőséged, akkor még jobb, ha a biztonságos WPA3-at választod. Arra viszont figyelj, hogy a WPA3 nem visszafelé kompatibilis, tehát csak akkor tudsz WPA3-ra átállni, ha az összes, a hálózatra csatlakozó eszköz is képes arra, hogy ezt a titkosítást használja.
3. Minden modern routerben van lehetőség arra is, hogy vendég hálózatot hozz létre - ez azért jó, mert ha házibulit tartasz vagy családi látogatásról van szó, akkor úgy biztosíthatod a netelérést a vendégeid számára, hogy közben az otthoni eszközök biztonsága és a személyes adatok miatt sem kell aggódni - gondolj csak bele, ha például saját fotószervert üzemeltetsz, és azt a kényelem miatt úgy konfiguráltad, hogy helyi IP-címmel jelszó nélkül is el tudd érni, akkor a fotók minden, a hálózatra csatlakozó eszköz számára elérhetők, a vendég hálózaton lógó kütyük viszont - megfelelő beállítás esetén - csak az internethez férnek hozzá, a helyi hálózatra csatlakozó más eszközökkel nem tudnak kommunikálni.
4. Az okosotthon kütyük nagyon hasznosak tudnak lenni, viszont sajnos általános jelenség, hogy a gyártók a rendkívül nagy termékválaszték miatt és azért, hogy a költségeket alacsonyan tartsák, nem fektetnek túl nagy hangsúlyt arra, hogy az eszközök fimrware-ét frissen tartsák. A Wi-Fi hálózatra csatlakozó okosotthon eszközöket sokan szeretik, mert nem kell drága központi egységet vásárolni ahhoz, hogy működjenek a termékek és a különféle rutinok, ráadásul a felhőalapú működés élből megoldja azt a problémát is, hogy az eszközökhöz interneten keresztül, a távolból is hozzá tudj férni. Hogy rövidre fogjuk a történetet, fentiekből adódik, hogy a Wi-Fi-s okosotthon termékeket is erősen ajánlott külön hálózatra csatlakoztatni. Jó megoldás természetesen, ha ezek a kütyük is a vendég hálózatra csatlakoznak, de ha a router engedi, még jobb, ha külön IoT hálózatot létesítesz számukra, így teljesen biztos, hogy az útválasztó csak az internetre engedi ki ezeket a termékeket; nem fognak tudni kommunikálni a helyi hálózattal, de még csak egymással sem.
Tipp: amennyiben a Wi-Fi-s okosotthon kütyüben ESP32 chip található, úgy alternatív megoldás az is, ha a gyári firmware helyett ESPHome firmware-t telepítesz, azonban amellett, hogy ez a módszer nehézsége miatt csak haladóknak ajánlott, gondoskodni kell arról is, hogy legyen valamilyen helyi szerver (pl. Home Assistant), ami segít vezérelni az ilyen módon átalakított eszközöket.
5. WPS, UPnP és távoli elérés - ezeket a funkciókat a gyártók kényelmi megfontolásból építik be eszközeikbe, ám használatuk felesleges támadási felületet jelent. A WPS például arra való, hogy egy új eszközt konfiguráció nélkül tudj csatlakoztatni a hálózathoz, viszont ha a routerhez fizikailag hozzá lehet férni (márpedig otthoni környezetben ez általában így van), akkor nemcsak te tudod aktiválni a WPS funkciót, hanem a vendégeid is. Az UPnP pedig a multimédiás tartalmak megosztását hivatott elősegíteni azzal, hogy a csatlakozó eszközök mindenféle hitelesítés nélkül is látják egymást. Viszont nem túl biztonságos, UPnP utasításokkal portot lehet nyitni a routeren, amit aztán más behatolási kísérletekhez lehet használni.
Összegzés
Egy jól beállított Wi-Fi hálózat esetén nagyon kicsi az esélye annak, hogy ismeretlen eszköz csatlakozzék, ezért elsősorban a megelőzésre kell odafigyelni. Ezzel együtt is érdemes rendszeresen ellenőrizni, hogy nem történt-e illetéktelen behatolás, hiszen egy ilyen helyzet felesleges biztonsági kockázatot rejt. A megoldás pedig egyszerű: minden routerben megvannak azok a szolgáltatások, amikkel felismerheted a betolakodókat, és persze azok az eszközök is, amelyekkel szükség esetén a helyzetet orvosolhatod.
