Saugumo Pažeidžiamumų Analizė ir Aptikimo Metodai Mokyklų Bevieliuose Tinkluose

By /

Šiuolaikinėse mokyklose bevieliai tinklai (Wi-Fi) tapo neatsiejama ugdymo proceso dalimi, užtikrinančia prieigą prie informacijos ir skaitmeninių išteklių. Tačiau kartu su patogumu atsiranda ir nauji saugumo iššūkiai. Šiame straipsnyje gilinsimės į skirtingų bevielio ryšio tinklų konfigūracijas, galimus pažeidžiamumus ir aptikimo bei apsaugos nuo neteisėtos prieigos metodus, ypatingą dėmesį skiriant mokyklų aplinkai.

Mokyklos Bevielio Ryšio Tinklų Konfigūracijos

Mokyklos paprastai naudoja kelis skirtingus bevielio ryšio tinklus, skirtus įvairioms naudotojų grupėms ir poreikiams. Vienas dažniausiai sutinkamų tinklų yra „lm“. Prie jo gali jungtis mokyklos personalas ir moksleiviai. Prisijungimo duomenys sudaro naudotojo vardas ir slaptažodis, kuris buvo įvestas naudotojo aktyvacijos formoje. Tokia sistema leidžia centralizuotai valdyti prieigą ir užtikrinti, kad tik įgalioti asmenys galėtų naudotis tinklu.

Kitas svarbus tinklas yra „eduroam“. Šis tinklas skirtas pedagogams ir kitų mokslo institucijų nariams. Jo pagrindinis privalumas yra tarptautinis tinkamumas - naudojantis „eduroam“ paslauga, akademinės institucijos naudotojas, norėdamas prisijungti prie kitos institucijos bevielio tinklo, gali naudoti tą patį naudotojo vardą ir slaptažodį, kokį naudotų, būdamas savo akademinėje institucijoje. Papildoma registracija nereikalinga. Prisijungimo duomenys sudaro naudotojo vardas ir slaptažodis, kuris buvo įvestas aktyvacijos metu. Tai ypač patogu konferencijų, seminarų ar kitų tarptautinių renginių metu, kai lankytojai iš kitų universitetų ar tyrimų centrų gali lengvai prisijungti prie vietinio tinklo.

Taip pat egzistuoja tinklas, skirtas svečiams, veikiantis svečio teisėmis. Šis tinklas paprastai turi ribotas funkcijas ir yra skirtas laikiniems lankytojams, pavyzdžiui, tėvams per renginius ar išorės specialistams. Jo konfigūracija dažnai yra paprastesnė, o prieigos duomenys gali būti suteikiami laikinai.

Mokyklos bevielio tinklo diagrama

Prisijungimo Prieigos Nustatymai ir Techniniai Aspektai

Norint sėkmingai prisijungti prie mokyklos bevielio tinklo, svarbu suprasti techninius nustatymus. Pavyzdžiui, jungiantis prie „lm“ tinklo, reikia atlikti šiuos veiksmus:

  1. Belaidžių tinklų WiFi sąraše pasirinkti „lm“ tinklą.
  2. Spausti OK (Gerai).
  3. Spausti Connect (Prisijungti).

Detalesni nustatymai reikalingi, kai naudojamas pažangesnis autentifikacijos metodas. Pasirinkus tinklą „lm“, EAP metodu (EAP method) reikia parinkti PEAP, o antro etapo autentifikavimui (Second Authentication Method) nurodyti MSCHAPv2. CA sertifikato skiltyje pasirinkite Nepatvirtinti. Jei sistema (pvz., Android 11) reikalauja sertifikato, nurodykite domeną litnet.lt. Tuomet spauskite prisijungti (Connect).

Windows operacinėse sistemose, ypač Windows 8/8.1 ir Windows 10, prieš bandant prisijungti, būtina įsitikinti, kad išjungtas skrydžio režimas (Airplane mode), WiFi yra įjungtas (WiFi on) ir matomi WiFi tinklų signalo lygiai. Jei WiFi išjungtas (WiFi off) arba WiFi indikatorius perbrauktas, tai reiškia, kad WiFi tinklo plokštė yra išjungta. Tai gali būti padaryta per specialų mygtuką, esantį ant įrenginio korpuso, arba panaudojant klaviatūros kombinaciją (pvz., „fn“ + „funkcijos“ klavišas).

Jei prisijungimas nepavyksta, viena iš priežasčių gali būti neteisingai suvesti prisijungimo duomenys. Tokiu atveju reikia pakartotinai suvesti teisingus duomenis. Jei problema išlieka, rekomenduojama kreiptis į tinklo administratorių. Taip pat svarbu patikrinti, ar įrenginio WiFi tinklo plokštėje nustatyti dinaminiai IP adresai. Tai galima patikrinti paspaudus „Win + R“, įvedus „ncpa.cpl“ ir atsidariusiuose tinklo nustatymuose patikrinus TCP/IP nustatymus.

Windows 10 Wi-Fi nustatymų ekranas

Saugesnių Tinklų Konfigūravimas ir Prieiga

Kilus klausimams dėl prisijungimo prie belaidžio tinklo „lm“ ar „eduroam“, ar prisijungimo svečio teisėmis, svarbu žinoti, kokie reikalavimai keliami kiekvienam tinklui.

Norint prisijungti prie „lm“ tinklo, reikia naudoti mokyklos suteiktus naudotojo vardą ir slaptažodį. Jei slaptažodis buvo įvestas naudotojo aktyvacijos formoje, o prisijungimas nepavyksta, gali reikėti jį atstatyti per administratorių arba atlikti papildomą patvirtinimą.

Prisijungiant prie „eduroam“ tinklo, svarbu suprasti jo veikimo principą. Kaip minėta, akademinės institucijos naudotojai gali naudoti savo namų institucijos prisijungimo duomenis. Jei sistema reikalauja papildomų veiksmų, pavyzdžiui, slaptažodžio sukūrimo, jis turėtų būti sudarytas iš ne mažiau kaip 12 simbolių, turėti bent vieną didžiąją ir vieną mažąją raidę.

Svečiams, norintiems prisijungti prie tinklo svečio teisėmis, paprastai suteikiamas laikinas slaptažodis arba prieiga per specialią registracijos formą. Ši prieiga yra ribota ir skirta tik pagrindinėms funkcijoms atlikti.

Kaip dalintis mobiliuoju internetu - tethering ir hotspot

Saugumo Pažeidžiamumų Analizė ir Aptikimo Metodai

Nors mokyklų tinklai yra konfigūruojami su tam tikrais saugumo nustatymais, visada egzistuoja potencialūs pažeidžiamumai, kuriuos gali bandyti išnaudoti nesąžiningi asmenys. Vienas iš tokių pažeidžiamumų yra susijęs su WPS (Wi-Fi Protected Setup) technologija. Apie tai buvo kalbama renginyje „MJOTAS Jaunimo naktis“ Marijampolėje, kur buvo minimos „itin slaptos žinios, kaip nulaužti viešą WiFi“.

Nors viešojo WiFi nulaužimas yra neteisėtas ir neetiškas, suprasti jo mechanizmus svarbu saugumo didinimo tikslais. Kai kurie tinklai, ypač senesni ar ne tinkamai sukonfigūruoti, gali turėti pažeidžiamumų, leidžiančių apeiti WPA ir WEP, o kartais net WPA2 apsaugą.

Vienas iš metodų, minimų kaip galintis „nutraukti bevielio tinklo saugumą“, yra naudojant tokias operacines sistemas kaip „BackTrack“ (dabar žinoma kaip „Kali Linux“) ir įrankius tokius kaip „Reaver“. „Reaver“ naudoja pažeidžiamumą, esantį daugumoje maršrutizatorių ir prieigos taškų, sertifikuotų WPS. Šis įrankis bando atrasti WPS PIN kodą, atliekant „brute force“ ataką, t.y., bandant įvairias slaptažodžio kombinacijas. Pažeidžiamumas slypi tame, kad maršrutizatorius patvirtina pirmuosius keturis PIN kodo skaitmenis, o tai žymiai supaprastina visos kombinacijos atradimą, lyginant su pilnos 99.999.999 kombinacijų bandymu.

Komandos, kurios gali būti naudojamos tokio tipo atakoje, apima:

  1. airmon-ng - belaidžio tinklo plokštės aptikimui ir monitoriaus režimo įjungimui.
  2. airmon-ng start wlan0 (arba wlan1) - tinklo plokštės paleidimui stebėjimo režimu.
  3. wash -i mon0 - belaidžio tinklo su įjungtu WPS aptikimui. Jei pasirodo klaida „Rasta paketas su dab FCS, praleidžiant…“, gali tekti naudoti komandą wash -i mon0 --ignore-fcs.
  4. reaver -i mon0 -b „Įdėkite čia BSSID“ -d 0 -vv - WPS PIN kodo ir tinklo rakto paieškai.

Tokia ataka gali užtrukti nuo kelių minučių iki kelių valandų, priklausomai nuo maršrutizatoriaus ir tinklo konfigūracijos.

Reaver įrankio naudojimo pavyzdys komandinėje eilutėje

Apsauga Nuo Bevielio Tinklo Saugumo Pažeidimų

Svarbiausia siekiant apsisaugoti nuo tokių išpuolių yra tinkamai konfigūruoti bevielio tinklo saugumą. Pagrindinė rekomendacija - išjungti WPS funkciją maršrutizatoriuje. Dauguma gamintojų, pavyzdžiui, TP-LINK, šią funkciją vadina QSS (Quick Secure Setup) ir ji gamykliškai būna įjungta, siekiant palengvinti sertifikavimo procesą. Tačiau būtent ši funkcija ir atveria galimybes įsilaužėliams.

Be WPS išjungimo, svarbu laikytis ir kitų saugumo praktikų:

  • Naudoti stiprius slaptažodžius: Slaptažodžiai turėtų būti sudėtingi, ilgesni nei 12 simbolių, su didžiųjų ir mažųjų raidžių bei skaičių kombinacijomis.
  • Reguliariai atnaujinti programinę įrangą: Maršrutizatorių ir tinklo įrenginių programinė įranga turėtų būti atnaujinama iki naujausių versijų, kad būtų ištaisytos žinomos saugumo spragos.
  • Naudoti WPA3 apsaugą: Jei įmanoma, naudoti naujausią belaidžio tinklo apsaugos standartą WPA3, kuris siūlo žymiai didesnį saugumą nei ankstesni standartai.
  • Riboti tinklo matomumą: Paslėpti tinklo SSID (nešviesti tinklo pavadinimo) gali šiek tiek apsunkinti nepageidaujamą prisijungimą, nors tai nėra visiškai patikima apsauga.
  • Stebėti tinklo aktyvumą: Periodiškai tikrinti prisijungusių įrenginių sąrašą ir stebėti neįprastą tinklo aktyvumą.

Pamirštų Tinklų Valdymas Mobiliuosiuose Įrenginiuose

Kartais, siekiant išspręsti prisijungimo problemas ar tiesiog tvarkant turimus tinklus, gali prireikti pamiršti anksčiau naudotą Wi-Fi tinklą. Ši funkcija pasiekiama daugumoje mobiliųjų įrenginių.

„iPhone“:

  1. Atidarykite „Nustatymai“.
  2. Bakstelėkite „Wi-Fi“.
  3. Šalia tinklo pavadinimo bakstelėkite informacijos piktogramą „i“.
  4. Bakstelėkite „Pamiršti šį tinklą“ (angl. „Forget this network“). Tinklas trumpam išnyks iš sąrašo.

„Android“:

  1. Atidarykite „Nustatymai“.
  2. Bakstelėkite „Ryšiai“ arba „Tinklas ir internetas“.
  3. Palieskite „Wi-Fi“.
  4. Bakstelėkite tinklo pavadinimą arba žymeklį, esantį šalia tinklo pavadinimo (jei naudojate „Samsung“ įrenginį).
  5. Bakstelėkite „Pamiršti“.

Tokie veiksmai padeda išspręsti situacijas, kai įrenginys bando prisijungti prie pasenkusio ar neteisingai sukonfigūruoto tinklo, taip pat atlaisvina vietos naujiems tinklams.

Ikonėlė su užraktu ir Wi-Fi simboliu

Renginio „MJOTAS Jaunimo Naktis“ Saugumo Priemonės

Renginio „MJOTAS Jaunimo naktis“ organizatoriai skyrė didelį dėmesį dalyvių saugumui ir tinklo prieigai. Renginio metu buvo taikomos griežtos taisyklės, siekiant užtikrinti tvarką ir saugumą:

  • Ribota teritorija: Dalyviai galėjo vaikščioti tik aptvertoje teritorijoje. Peržengus pažymėtas ribas, įsijungdavo mokyklos signalizacija ir dalyvis turėdavo palikti renginį. Tai rodo, kad mokyklos tinklo saugumas yra svarbus net ir renginio metu, siekiant išvengti neteisėtos prieigos prie vidinių sistemų.
  • Apsaugos darbuotojai: Viso renginio metu prie gimnazijos durų budėjo apsaugos darbuotojai. Jie turėjo teisę tikrinti dalyvių kišenes, kuprines bei jų turinį ir neįleisti į renginį neužsiregistravusių dalyvių. Tai bendro saugumo priemonė, ne tiesiogiai susijusi su WiFi, bet svarbi bendrai renginio saugumo politikai.
  • Registracija: Privaloma išankstinė registracija ir tik patvirtintų registracijų dalyviai galėjo dalyvauti renginyje. Vietų skaičius buvo ribotas. Tai užtikrino, kad į renginį patektų tik nustatytas ir žinomas dalyvių skaičius.
  • Reikalingi daiktai: Dalyviai privalėjo turėti dalyvio sutartį ir tėvų sutikimą, vandens gertuvę, miegmaišį, pledą, šiltas kojines, tapkes, pižamą ar kitus patogius rūbus. Šie reikalavimai susiję su nakvynės patogumu ir saugumu renginio metu, bet ne tiesiogiai su tinklo saugumu.

Šios priemonės rodo, kad net ir kalbant apie „slaptas žinias“ apie WiFi nulaužimą, organizatoriai siekė užtikrinti, kad tokios žinios nebūtų panaudotos neteisėtai ar kenksmingai renginio metu, o pats renginio vykdymas vyktų saugioje aplinkoje.

tags: #kaip #nulauzti #mokyklos #wifi

Populiarūs įrašai:

  • „LG Spirit“ LTE apžvalga
  • Kaip pagerinti Wi-Fi aprėptį
  • Modbus protokolo vadovas
  • Mobiliojo ryšio ir medicinos naujovės
  • Internetinio ryšio veikimo principai