Πώς προστατεύουμε τις συσκευές μας στο σπίτι από τους… φιλοξενούμενους
Shutterstock
Shutterstock

Πώς προστατεύουμε τις συσκευές μας στο σπίτι από τους… φιλοξενούμενους

Οι περισσότεροι στο σπίτι μας έχουμε μία συσκευή modem-router που μας έχει προμηθεύσει ο πάροχος τηλεπικοινωνιών που μας παρέχει το Internet. Είτε ενσύρματα, είτε ασύρματα μέσω WiFi, συνδέουμε εκεί όλες μας τις συσκευές. Και αυτή είναι μία πρακτική που την συναντάει κανείς ακόμα και σε επιχειρήσεις. Διότι αυτός ο τρόπος είναι ο ευκολότερος, γρηγορότερος και φθηνότερος.

Είναι όμως μια σωστή πρακτική από άποψη ασφάλειας και τι συμβαίνει όταν δίνουμε πρόσβαση στο δίκτυό μας σε άλλους ανθρώπους;

Το κενό ασφαλείας

Ας υποθέσουμε ότι έρχεται στο σπίτι μας ένας φιλοξενούμενος και θέλει να χρησιμοποιήσει το WiFi μας για να συνδεθεί στο διαδίκτυο. Επειδή αυτή η υπόθεση είναι ένα πραγματικό και πάρα πολύ πιθανό σενάριο, πολλοί επιλέγουν έναν εύκολο κωδικό για το WiFi ώστε να τον θυμούνται εύκολα και να μπορούν να τον κοινοποιούν στους φιλοξενούμενούς τους. Σε ένα τέτοιο σενάριο, λοιπόν, και πριν καν συνδεθεί οποιοσδήποτε τρίτος στο δίκτυο μας, έχουμε ήδη ένα κενό ασφαλείας που είναι ο αδύναμος κωδικός για το ασύρματο δίκτυο. Κάτι που αυξάνει τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης από κακόβουλους χρήστες ή απλά από χρήστες που θέλουν να κάνουν δωρεάν χρήση της γραμμής μας.

Πηγή Shutterstock

Όπως επισημαίνει η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ (FTC), το ασύρματο δίκτυο αποτελεί την πύλη προς όλες τις συνδεδεμένες συσκευές του σπιτιού, γι’ αυτό συνιστά την αντικατάσταση τόσο του προεπιλεγμένου κωδικού του Wi-Fi όσο και του κωδικού διαχείρισης του router με ισχυρούς κωδικούς.

Πέρα από το κενό ασφαλείας του αδύναμου κωδικού, με το παραπάνω setup του δικτύου έχουμε ένα δεύτερο πρόβλημα που είναι εξίσου σημαντικό με το πρώτο.

Εάν κάποιος αποκτήσει, χωρίς άδεια, πρόσβαση στο Wi-Fi μας, η συσκευή του βρίσκεται πλέον στο ίδιο τοπικό δίκτυο με πολλές από τις συσκευές του σπιτιού. Αυτό δεν σημαίνει ότι αποκτά αυτομάτως τον έλεγχό τους, μπορεί όμως, εφόσον υπάρχουν αδυναμίες ασφαλείας, να επιχειρήσει να εντοπίσει ευάλωτες συσκευές, να αποκτήσει πρόσβαση σε δεδομένα ή να επεκτείνει την επίθεσή του και σε άλλα συστήματα. Συσκευές όπως εκτυπωτές, κάμερες, καταγραφικό καμερών, υπολογιστές, κινητά, tablets, συναγερμός, καθώς και το διαχειριστικό του ίδιου του router είναι δυνητικά εκτεθειμένα. Ένας κακόβουλος χρήστης μπορεί να χρησιμοποιήσει αυτήν την πρόσβαση είτε για κλοπή προσωπικών δεδομένων, είτε για να μολύνει άλλες συσκευές. Αν κάποια από αυτές τις συσκευές είναι ευάλωτη ή προστατεύεται με αδύναμο ή προεπιλεγμένο κωδικό, ο εισβολέας μπορεί να επιχειρήσει να αποκτήσει πρόσβαση σε αυτήν — για παράδειγμα, να παρακολουθήσει μια κάμερα, να επέμβει στο καταγραφικό ή να προσπελάσει αρχεία.

Πηγή Shutterstock

Όπως επισημαίνει σε άρθρο της η ιρλανδική εταιρεία λογισμικού παρακολούθησης και ασφάλειας δικτύων Fing, ένας κακόβουλος χρήστης που έχει αποκτήσει πρόσβαση στο οικιακό δίκτυο μπορεί να εντοπίσει και να χαρτογραφήσει τις συνδεδεμένες συσκευές, όπως υπολογιστές, κινητά, εκτυπωτές, κάμερες ασφαλείας και έξυπνες τηλεοράσεις. Ο κίνδυνος όμως δεν προέρχεται μόνο από τους hackers.

Η απειλή που λέγεται… φιλοξενούμενοι

Από τη στιγμή που δώσουμε τον κωδικό του WiFi μας σε κάποιον φιλοξενούμενο, δεν σημαίνει προφανώς ότι αυτός θα αρχίσει να ψάχνει το δίκτυο μας και ότι θα προσπαθήσει να κάνει ζημιά στις συσκευές μας ή να υποκλέψει προσωπικά δεδομένα.

Δεν μπορούμε, όμως, να γνωρίζουμε αν η συσκευή που συνδέεται είναι ασφαλής. Αν είναι ήδη μολυσμένη με κακόβουλο λογισμικό που έχει τη δυνατότητα να εξαπλώνεται μέσω τοπικού δικτύου, μπορεί, υπό προϋποθέσεις, να επιχειρήσει να μολύνει και άλλες ευάλωτες συσκευές του σπιτιού. Όπως αναφέρει η FTC, αν κακόβουλο λογισμικό εισέλθει σε οποιαδήποτε συσκευή του οικιακού δικτύου, μπορεί να εξαπλωθεί και σε άλλες συσκευές που είναι συνδεδεμένες στο ίδιο δίκτυο.

Η λύση του Guest WiFi

Οι λύσεις που υπάρχουν είναι συγκεκριμένες. Αλλά δεν είναι όλες οι λύσεις για όλες τις περιπτώσεις. Και αυτό το σημείο είναι ιδανικό για να κάνουμε έναν βασικό διαχωρισμό ανάμεσα σε σπίτια και μικρές και πολύ μικρές επιχειρήσεις και ανάμεσα σε μεσαίες και μεγάλες επιχειρήσεις. Διότι η κάθε λύση απαιτεί τον δικό της χρόνο υλοποίησης, έχει κόστη αγοράς, κόστη λειτουργίας, κόστη συντήρησης. Το συγκεκριμένο άρθρο επικεντρώνεται στο σπίτι. Πώς, λοιπόν μπορούμε να προστατεύσουμε το δίκτυο του σπιτιού μας από τις παραπάνω απειλές χωρίς να κάνουμε τα πράγματα πολύπλοκα;

Το modem-router που μας προμηθεύει ο πάροχος είναι ταυτόχρονα και ασύρματος πομποδέκτης WiFi (wireless Access Point). Κάποιες από αυτές τις συσκευές έχουν τη δυνατότητα να δημιουργήσουν ένα extra δίκτυο WiFi, το λεγόμενο Guest WiFi. Το Guest WiFi είναι στα ελληνικά το ασύρματο δίκτυο των φιλοξενούμενων. Αυτό, με τις κατάλληλες ρυθμίσεις στο μηχάνημα του παρόχου, μπορεί να δίνει στους χρήστες του συγκεκριμένου WiFi πρόσβαση μόνο στο διαδίκτυο και να μπλοκάρει τη σύνδεση μεταξύ συσκευών ανάμεσα στα δύο WiFi, δηλαδή του κυρίως WiFi και αυτό των φιλοξενούμενων και, το κυριότερο, να μπλοκάρει τη σύνδεση συσκευών από το Guest WiFi στις ενσύρματα συνδεδεμένες συσκευές του σπιτιού, όπως εκτυπωτές, κάμερες, καταγραφικό καμερών, υπολογιστές, συναγερμός, καθώς και το διαχειριστικό του ίδιου του router.

Όπως εξηγεί η Kaspersky, οι συσκευές του σπιτιού παραμένουν συνδεδεμένες στο κύριο δίκτυο, ενώ το Guest Wi-Fi παρέχει στους φιλοξενούμενους πρόσβαση στο Internet, χωρίς πρόσβαση στο οικιακό δίκτυο. Έτσι, οι επισκέπτες μπορούν να συνδεθούν κανονικά στο διαδίκτυο, χωρίς να εκτίθενται τα αρχεία και οι υπόλοιπες συσκευές του σπιτιού. Ακόμη και αν το κινητό ενός φιλοξενούμενου είναι μολυσμένο με κακόβουλο λογισμικό, ο διαχωρισμός αυτός περιορίζει τη δυνατότητά του να φτάσει σε αρχεία και συσκευές του κύριου δικτύου.

Σε αυτό το σημείο είναι σημαντικό να διευκρινιστεί το εξής. Η ύπαρξη τεχνικής δυνατότητας δημιουργίας Guest WiFi δεν σημαίνει απαραίτητα ότι δίνεται η δυνατότητα για αποκλεισμό των συνδεδεμένων συσκευών από το τοπικό δίκτυο. Πρέπει να κοιτάξουμε προσεκτικά τις ρυθμίσεις του modem-router του παρόχου και να βεβαιωθούμε ότι υπάρχει σχετική ρύθμιση στην ενότητα που αφορά το ασύρματο δίκτυο των φιλοξενούμενων. Αν δεν υπάρχει σχετική ρύθμιση, δεν μπορούμε να θεωρήσουμε δεδομένο ότι οι χρήστες του Guest Wi-Fi αποκλείονται από το τοπικό δίκτυο. Το ξεχωριστό όνομα και ο διαφορετικός κωδικός που προσφέρει το Guest WiFi δεν εξασφαλίζουν από μόνα τους πραγματική απομόνωση.

Τι γίνεται, ωστόσο, όταν το μηχάνημα του παρόχου δεν έχει αυτή τη λειτουργία, δηλαδή Guest WiFi με αποκλεισμό πρόσβασης στο τοπικό δίκτυο; Εκεί υπάρχουν δύο εναλλακτικές:

  • Επικοινωνία με τον πάροχο για αντικατάσταση του μηχανήματος με ένα μηχάνημα που να έχει αυτήν τη δυνατότητα. Αν αυτό δεν είναι εφικτό από την πλευρά του παρόχου, τότε
  • Απενεργοποίηση του WiFi από το modem-router του παρόχου και αγορά ενός πομποδέκτη WiFi ή router με ενσωματωμένο πομποδέκτη WiFi που να έχει αυτήν τη δυνατότητα. Σε αυτό το σενάριο συνδέουμε ενσύρματα με καλώδιο ethernet τη νέα συσκευή με το modem-router του παρόχου. Η νέα συσκευή είναι πλέον αυτή που θα εκπέμπει και τα 2 WiFi.

Πηγή Shutterstock

Ένα πλεονέκτημα της χρήσης Guest WiFi είναι ότι μπορούμε να ορίσουμε έναν πολύ ισχυρό κωδικό για το κεντρικό WiFi που θα γνωρίζουμε μόνο εμείς και έναν κάπως απλούστερο, αλλά όχι αδύναμο, για το WiFi των φιλοξενούμενων, έναν που να μπορούμε να τον θυμόμαστε. Από την άλλη πλευρά, αυτή η λύση δεν διασφαλίζει ότι κάποιος επιτήδειος δεν θα μπορεί να χακάρει το Guest WiFi που θα έχει ευκολότερο κωδικό και να κάνει δωρεάν χρήση της γραμμής μας.

WiFi isolation

Την ίδια στιγμή που μπορούμε να δημιουργήσουμε WiFi για τους φιλοξενούμενους, έχουμε, σε αρκετές συσκευές, την επιλογή της ασύρματης απομόνωσης των συσκευών (wireless isolation). Αυτό δεν έχει να κάνει με απομόνωση ανάμεσα στα δύο WiFi, αλλά έχει να κάνει με την απομόνωση των συσκευών εσωτερικά στο κάθε ένα από τα WiFi ώστε να μην βλέπουν η μία συσκευή την άλλη. Παραδείγματος χάριν, αν έχουμε δύο φιλοξενούμενους στο σπίτι μας και τους δώσουμε πρόσβαση στο Guest WiFi και έχουμε ενεργοποιήσει την ασύρματη απομόνωση, τότε κανένας από τους δύο φιλοξενούμενους δεν έχει πρόσβαση στη συσκευή του άλλου, παρά το γεγονός ότι συνδέονται ακριβώς στο ίδιο WiFi. Σε ορισμένες συσκευές το isolation, από μόνο του, μπορεί να περιορίζει και την πρόσβασή τους σε άλλες συσκευές του τοπικού δικτύου. Επειδή η ακριβής λειτουργία διαφέρει ανά κατασκευαστή, πρέπει να ελέγχουμε την περιγραφή της συγκεκριμένης ρύθμισης.

Όπως εξηγεί σε άρθρο της η τεχνολογική ιστοσελίδα How-To Geek, όταν η λειτουργία αυτή είναι ενεργοποιημένη, οι συσκευές που είναι συνδεδεμένες στο Wi-Fi δεν μπορούν να επικοινωνήσουν μεταξύ τους ή με άλλες συσκευές του τοπικού δικτύου και έχουν πρόσβαση μόνο στο Internet.

Μια σημαντική λεπτομέρεια: οι ονομασίες διαφέρουν ανά κατασκευαστή. Επιλογές όπως «Client isolation» και «AP isolation» μπορεί να εμφανίζονται με διαφορετικό τρόπο.

Έλεγχος των specifications πριν την αγορά

Πριν από οποιαδήποτε αγορά ασύρματου πομποδέκτη WiFi (ή router με ενσωματωμένο πομποδέκτη WiFi) πρέπει να ελέγξουμε προσεκτικά τις προδιαγραφές. Δεν αρκεί να αναφέρεται απλώς η δυνατότητα δημιουργίας Guest Wi-Fi. Πρέπει να επιβεβαιώσουμε ότι το Guest WiFi μπορεί να περιορίσει την πρόσβαση μόνο προς το διαδίκτυο και να μην επιτρέπει την πρόσβαση στο τοπικό δίκτυο, καθώς και αν υποστηρίζεται wireless isolation, ώστε οι συνδεδεμένες συσκευές να μην επικοινωνούν μεταξύ τους. Σε ορισμένες συσκευές, οι συγκεκριμένες δυνατότητες είναι διαθέσιμες μόνο μέσω πρόσθετης πλατφόρμας ή εφαρμογής διαχείρισης, η οποία μπορεί να απαιτεί πρόσθετο εξοπλισμό ή εγκατάσταση λογισμικού. Αυτό πρέπει επίσης να ελέγχεται πριν από την αγορά.