18. prosince 2006, 00.00 | Pokud máme nějaký 3rd party router, musíme si poradit sami: ačkoli samozřejmě řízení každého konkrétního routeru bude vypadat trochu jinak, vyplatí se možná ukázat si alespoň jeden konkrétní příklad pro lepší orientaci.
Současná skupina článků našeho seriálu o bezpečnosti operačního systému Mac OS X, v níž se podrobněji zabýváme nastavením a zabezpečením bezdrátové sítě AirPort (WiFi), se zvolna chýlí ke konci.
Ukázali jsme si, kterak nastavit bezdrátovou síť na počítači, vybaveném pouze standardní kartou AirPort. Nastavujeme-li síť se základnovou stanicí Apple AirPort Base station či AirPort Expres, máme k dispozici pohodlné aplikace pro konfiguraci sítě a dokonce i "asistenta" pro její základní nastavení. Pokud ale máme nějaký 3rd party router, musíme si poradit sami: ačkoli samozřejmě řízení každého konkrétního routeru bude vypadat trochu jinak, vyplatí se možná ukázat si alespoň jeden konkrétní příklad pro lepší orientaci.
Přístup ke konfiguraci
Ačkoli se ještě tu a tam setkáme s "dinosaury", jež je zapotřebí konfigurovat s využitím terminálu prostřednictvím sériového rozhraní RS-232 – což je poněkud problematické, neboť počítače Apple tímto prehistorickým rozhraním již řadu let nejsou osazovány, takže v takovémto případě musíme mít k dispozici RS-232/USB bridge –, naprostá většina současných routerů umožňuje pohodlnou konfiguraci prostřednictvím webového rozhraní,
Obvykle takový router standardně nabízí i služby DHCP (automatické přidělení IP adresy klientům), takže stačí v síťových předvolbách zvolit DHCP bez dalšího nastavování, a připojit Maca k routeru prostřednictvím ethernetového kabelu – a vše by mělo automaticky fungovat:
Ihned po potvrzení "Apply Now" se počítač připojí k routeru a získá od něj IP adresu; tu pak zobrazí v poli "IP Address". Adresu samotného routeru – vždy jde o adresu v témže subnetu, často s posledním číslem .1 nebo .254 – pak uvidíme v poli "Router".
Nyní stačí přejít do aplikace Safari a připojit se k routeru na adresu, na níž je připojen jeho konfigurační protokol: někdy to bývá táž adresa, již vidíme v položce "Router", jindy jde o odlišnou adresu, uvedenou v dokumentaci routeru. Kupříkladu u mého routeru jde o adresu .138. Do adresového pole Safari tedy zadáme "http://", první tři čísla subnetu (tedy "IP Address" či "Router", prvá trojice čísel bude samozřejmě vždy stejná), a na konec adresu konfiguračního portu routeru.
Po chvilce se nám router ohlásí úvodní obrazovkou a loginem – zde zadáme korektní jméno a heslo (u nových routerů ve standardní konfiguraci to obvykle bývá "admin"/"admin"), a již můžeme s routerem pracovat.
Především samozřejmě změníme jméno a heslo!
Hned prvý krok po připojení nového routeru samozřejmě bude nastavit odlišné jméno a heslo nežli jeho výchozí "admin"/"admin" (jinak by se nám mohlo stát, že by se k routeru připojil sousedův hravý synek prostřednictvím WiFi a překonfiguroval by jej podle svých představ):
Samozřejmě, že pro volbu vhodného hesla platí vše, co jsme si říkali v předchozích dílech našeho seriálu. Heslo nemusí být vůbec snadno zapamatovatelné; uložíme jej přece do keychainu, který si jej bude pamatovat za nás...
Pokud router slouží nejen k vystavení naší domácí či podnikové sítě, ale zároveň i k připojení k Internetu, zkonfigurujeme samozřejmě toto připojení. Zde je třeba využít dokumentace již dodal internetový provider: zcela jinak bude samozřejmě vypadat připojení prostřednictvím WiFi a samostatného access pointu, jinak tomu bude s připojením prostřednictvím ADSL, ještě jinak třeba při nastavení dial-up připojení na lince ISDN...
Nastavení WiFi
V druhém kroku pak můžeme zkonfigurovat síť WiFi: vhodné je použít šifrování WPA nebo alespoň WEP-128 (tato varianta bude určitě k dispozici u libovolného routeru, i kdyby nepodporoval WPA – nejde-li o zcela extrémní vykopávku :))
Nastavení by mohlo vypadat nějak takto:
"SSID", mimochodem, je prostě a jednoduše jméno bezdrátové sítě, k níž pak klientský počítač připojíme jednoduše tak, že ji zvolíme v nabídce AirPortu. Některé routery mohou také nabízet volbu skrytí SSID; máme-li tuto možnost, zapneme ji – to znamená, že náhodný kolemjdoucí se o naší síti vůbec nedozví (a my sami její jméno nebudeme moci zvolit z rozevírací nabídky, ale budeme ji muset zapsat ručně do textového pole s variantou "Other").
Omezení přístupu na základě adresy síťové karty
Každá síťová karta má jednoznačnou adresu, tzv. MAC. Většina routerů umožňuje zadat seznam adres MAC, z nichž se lze připojit, a zakázat přístup komukoli jinému ("whitelist").
Tato bezpečnostní služba je přinejlepším diskutabilní: adresu MAC totiž lze volně zkonfigurovat, takže ji v principu vždy lze obejít; navíc je trochu nepohodlná v poměrně běžném případě, kdy chcete umožnit připojení k vaší síti hostům. Nicméně je pravda, že zvláště bezpečnost sítě chráněné pouze šifrováním WEP (o nešifrované síti ani nemluvě!) "whitelist" o poznání zvýší:
NAT a firewall
Služba NAT – překlad adres – umožňuje připojit celou síť počítačů na jednu jedinou IP adresu; je typickým řešením pro malé domácí sítě, a navíc zvyšuje zabezpečení: dostat se zvenku "dovnitř" přes NAT a napadnout počítač, umístěný za routerem, který adresy překládá, není vůbec snadné. Proto je vhodné NAT zapnout kdykoli, když není zapotřebí, aby některý z počítačů v síti nabízel své služby veřejně na Internet (resp. "ven" mimo router, sestavujeme-li větší síť, jež zahrnuje routerů více).
Firewall pak funguje tak, jak jsme si to již ukázali hned v prvé z kapitol věnovaných zabezpečení sítě; ten samozřejmě zapneme vždy, a pouze v případě, že některý z počítačů v síti má své služby nabízet "ven" explicitně povolíme pouze požadované porty. Konkrétní uživatelské rozhraní, jež k tomu router nabízí, může vypadat kupříkladu takto (seznam portů, odpovídající zvolenému "pravidlu", si můžeme prohlédnout po stisknutí tlačítka "View"):
To již jsme ale samozřejmě zpátky u obecných bezpečnostních služeb, jež jsou vhodné při libovolném nastavení jakékoli sítě, bez ohledu na to, jedná-li se o bezdrátový AirPort nebo síť založenou na libovolné jiné technologii.