Váš smerovač pravdepodobne podporuje WPS a pravdepodobne je predvolene povolený. Rovnako ako UPnP, je to neistá funkcia, ktorá znemožňuje vašu bezdrôtovú sieť útokom.
Čo je Wi-Fi Protected Setup?
Väčšina domácich používateľov by mala používať službu WPA2-Personal, známu aj ako WPA2-PSK. "PSK" znamená "predbežne zdieľaný kľúč". Vo svojom smerovači nastavíte bezdrôtovú prístupovú frázu a na každom zariadení, ktoré sa pripájate do siete WI-Fi, zadáte rovnakú prístupovú frázu. Toto vám v podstate poskytuje heslo, ktoré chráni vašu sieť Wi-FI pred neoprávneným prístupom. Router odvodzuje šifrovací kľúč z vašej prístupovej frázy, ktorú používa na šifrovanie prenosu v bezdrôtovej sieti, aby ľudia bez kľúča nemohli odposlúchť.
To môže byť trochu nepríjemné, pretože musíte zadať svoju prístupovú frázu na každé nové pripojené zariadenie. Služba Wi-Fi Protected Setup (WPS) bola vytvorená na vyriešenie tohto problému. Keď sa pripájate k smerovaču so zapnutým protokolom WPS, zobrazí sa hlásenie, že môžete použiť jednoduchší spôsob pripojenia, než aby ste zadali prístupovú frázu Wi-Fi.
Prečo je chránené nastavenie Wi-Fi je nefunkčné
Existuje niekoľko rôznych spôsobov, ako implementovať nastavenie chránené technológiou Wi-Fi:
PIN: Smerovač má osemciferný kód PIN, ktorý musíte na svoje zariadenia pripojiť. Skôr ako skontrolovať celý osemmiestny kód PIN naraz, smerovač skontroluje prvé štyri číslice oddelene od posledných štyroch číslic. To robí WPS PINy veľmi ľahko "hrubou silou" hádaním rôznych kombinácií. Existuje len 11 000 možných štvorciferných kódov a akonáhle softvér hrubej sily dostane prvé štyri číslice správne, útočník sa môže presunúť na ostatné číslice. Mnoho spotrebiteľských smerovačov nevyprší po tom, čo sa poskytne nesprávny kód WPS, čo umožňuje útočníkom hádať znova a znova. Kód PIN WPS môže byť vyčerpaný približne za jeden deň. [Zdroj] Každý môže používať softvér s názvom "Reaver" na rozbitie kódu WPS.
Push-Button-Connect: Namiesto zadávania kódu PIN alebo prístupovej frázy môžete po pokuse o pripojenie jednoducho stlačiť fyzické tlačidlo na smerovači. (Tlačítko môže byť aj tlačidlo softvéru na obrazovke s nastavením.) Toto je bezpečnejšie, pretože zariadenia sa môžu pripojiť k tejto metóde iba niekoľko minút po stlačení tlačidla alebo po pripojení jedného zariadenia. Nebude to aktívne a dostupné, aby bolo možné využívať ho celú dobu, ako je kód WPS. Tlačidlo push-connect sa zdá byť do značnej miery bezpečné, pričom jediným zraniteľným miestom je, že ktokoľvek s fyzickým prístupom k smerovaču môže stlačiť tlačidlo a pripojiť ho, aj keď nepoznal prístupovú frázu Wi-Fi.
Kód PIN je povinný
Zatiaľ čo tlačidlo push-connect je pravdepodobne bezpečné, metóda overovania pomocou kódu PIN je povinná základná metóda, ktorú musia podporovať všetky certifikované zariadenia WPS. To je správne - špecifikácia WPS určuje, že zariadenia musia implementovať najnebezpečnejšiu metódu autentifikácie.
Výrobcovia smerovačov nemôžu tento bezpečnostný problém vyriešiť, pretože špecifikácia WPS vyžaduje nezabezpečenú metódu kontroly PIN. Akékoľvek zariadenie implementujúce Wi-FI Protected Setup v súlade so špecifikáciami bude zraniteľné. Samotná špecifikácia nie je dobrá.
Môžete zakázať WPS?
Existuje niekoľko rôznych typov smerovačov.
- Niektoré smerovače neumožňujú deaktivovať službu WPS a neposkytujú vo svojich konfiguračných rozhraniach žiadnu možnosť.
- Niektoré smerovače poskytujú možnosť vypnúť službu WPS, ale táto voľba nečiní nič a služba WPS je stále povolená bez vášho vedomia. V roku 2012 sa táto chyba našla na "každom bezdrôtovom prístupovom bode Linksys a Cisco Valet … testované." [Zdroj]
- Niektoré smerovače vám umožnia buď zakázať, alebo povoliť službu WPS, ktorá neposkytuje žiadny výber spôsobov autentifikácie.
- Niektoré smerovače vám umožnia zakázať autentifikáciu WPS pomocou PIN, pričom stále používate autentifikáciu pomocou tlačidiel.
- Niektoré smerovače nepodporujú WPS vôbec. Tieto sú pravdepodobne najbezpečnejšie.
Ako zakázať WPS
Ak váš smerovač umožňuje deaktivovať službu WPS, túto možnosť pravdepodobne nájdete v rámci konfigurácie Wi-Fi Protected Setup alebo WPS vo webovom konfiguračnom rozhraní.
Mali by ste aspoň zakázať autentifikáciu na základe PIN. Na mnohých zariadeniach sa budete môcť rozhodnúť, či povolíte alebo zakážete službu WPS. Vyberte možnosť vypnúť WPS, ak je to jediná možnosť, ktorú môžete urobiť.
Mali by sme trochu obávať, že ponecháme WPS povolené, aj keď sa zdá, že je zakázaná voľba kódu PIN. Vzhľadom na hrozný záznam výrobcov routerov, pokiaľ ide o WPS a iné neisté funkcie, ako je UPnP, nie je možné, že niektoré implementácie WPS budú aj naďalej robiť autentifikáciu založenú na kóde PIN, aj keď sa zdá, že je zakázaná?
Samozrejme, teoreticky by ste mohli byť zabezpečený pomocou funkcie WPS, ak je zablokovanie autentifikácie založené na PIN-e, ale prečo riskovať? Celá služba WPS skutočne umožňuje jednoduchšie pripojenie k sieti Wi-Fi. Ak vytvoríte prístupovú frázu, ktorú si ľahko zapamätáte, mali by ste sa pripojiť rovnako rýchlo. A toto je len prvý problém - po pripojení zariadenia raz, nemusíte to robiť znova. WPS je hrozivo riskantné pre funkciu, ktorá ponúka taký malý prínos.
