מאמר זה נכתב ע"י טכנאי רשתות המסביר כיצד לאבטח את הרשת האלחוטית ולהגן מפני חדירת גורמים לא רצויים וגניבת רוחב פס.
ישנם מספר טכנולוגיות המאפשרות הגנה על הרשת האלחוטית (Wireless Network), את הגדרות האבטחה נגדיר תחילה בנתב (Router) או ב Access Point:
Disable – SSID Broadcasting
SSID פרושו – Service Set IDentifier , זהו שם מזהה לרשת האלחוטית שנקבע בדר"כ בנתב (Router) שמשמש כ Access Point במקרה זה.
בדר"כ שם הרשת מופץ לכולם (Broadcasting) וכל מי שברדיוס קליטה יוכל לראות את הרשת ולנסות לחדור אליה.
ראשית נקבע שם מקורי (ככלל – רצוי באנגלית) במקום השם הקיים כברירת מחדל.
נבחר שלא להפיץ את שם הרשת האלחוטית – Disable Broadcasting SSID.
Encryption Algorithm
ישנם מספר שיטות (/אלגוריתמים) להצפנה. יש לבדוק האם ציוד הקצה (כרטיס הרשת האלחוטי במחשב – Wireless Adapter) תומך באלגוריתם שנקבע בנתב / Access Point. לעיתים יש לעדכן דריבר של כרטיס רשת על מנת שיתמוך באלגורימים החדשים יותר. (כך גם לגבי עדכון Firmware / קושחה , בנתב / AP)
WEP
Wired Equivalent Privacy – WEP משמש כמנגנון אבטחה ע"י שיטת ההצפנה RC4, אבטחה בשיטה זו נחשבת כחלשה ולרוב ניתנת לפריצה בקלות תוך מספר דקות.
מנגנון אבטחה WEP הינו ישן וכיום רב היצרנים מאפשרים מנגנוני אבטחה מתקדמים יותר.
קיימות שתי שיטות לאימות (Authentication) ב WEP, והן:
Open System Authentication – בשיטה לא נדרש לבצע אימות ע"י מפתח
Shared Key Authentication – בשיטה זו קובעים מפתח בן 40 סיביות (נקרא גם 64 bit) או מפתח בן 104 סיביות (נקרא גם 128 bit)
WPA / WPA2
Wi-Fi Protected Access – WPA משמש כמנגנון אבטחה מתקדם יותר מאשר WEP ובא לפתור מספר בעיות חמורות ולהחליף את הפרוטוקול הישן (WEP).
WPA הינו תקן הכלול בציוד האלחוטי בתקן התעשייתי הקרוי Wi-Fi.
הפרוטוקול מחולק לשני מחלקות, Enterprise ו Personal.
Enterprise מיועד בדר"כ לארגונים ולא לשימוש ביתי. משתמש באימות ע"י שרת 802.1X אשר מפיץ מפתחות שונים לכל משתמש.
Personal מיועד לשימוש ביתי או לרשתות קטנות. משתמש בשיטה שנקראת pre-shared key (PSK), בשיטה זו ישנו מפתח משותף אשר ניתן להשתמש בו ע"י כל המשתמשים.
לאחר הגדרת הנתב או ה Access Point, נתבקש לגדיר את אותם נתונים בכרטיס האלחוטי שבציוד הקצה (מחשב נייד, iPHONE וכו'),
אם בחרתם להסתיר או לא להפיץ את שם הרשת האלחוטית -Disable Broadcasting SSID (כפי שמוסבר למעלה) , נצטרך להגדיר בציוד הקצה, באופן ידני, את שם הרשת – SSID והגדרות האבטחה.
MAC Address Filtering
ניתן להגדיר (/לסנן) בראוטר / בנקודת גישה, את הכתובות הפיזיות (mac / physical address) של התחנות הקצה המחוברות ברשת ולאפשר גישה רק לתחנות אשר הוגדרו.