Skip to content
Home Networking

Kdo je na mé Wi-Fi?

1 de Srpen de 2021
wireless 1861612 1920 4d23ae62f3fb4320a8796d20e8acf60e

Pokud vás někdy zajímalo, kdo používá vaši Wi-Fi, nejste sami. V tuto chvíli většina lidí chápe potřebu zabezpečit sítě Wi-Fi poskytované přístupovým bodem routeru (AP). Ve většině případů jde o boj proti odhodlaným útočníkům-pokud to, co děláte online, není citlivé, pravděpodobně si s tím nemusíte příliš lámat hlavu, ale zaměřuje se na odvrácení oportunistické hrozby nízké složitosti, kterou představují sousedé, kteří se snaží dřepněte ve své síti a získejte volný přístup.

Proč je důležité sledovat vaši Wi-Fi

Aby však byla vaše síť chráněna, nemohou vaše postupy zabezpečení sítě Wi-Fi sestávat pouze z nastavování překážek pro vetřelce. Musí jít hlouběji, aby zahrnoval sledování vnitřního stavu vaší sítě, aby bylo zajištěno, že přístup budou mít pouze ti, kteří mají oprávnění k přístupu. Hluboký obraz o stavu vaší sítě včetně zařízení v ní má také diagnostické výhody. Pokud například uvidíte zařízení v síti, zjistíte, zda se vaše bezdrátově připojená tiskárna přepne do režimu offline. Tato příručka vás naučí, jak implementovat tento typ monitorování, nejprve poskytnutím rychlého kurzu v tom, co hledat, a poté vás provede možnostmi identifikace těchto indikátorů.

Jak zjistit, kdo používá vaši Wi-Fi

Existují dva hlavní způsoby, jak identifikovat jakékoli zařízení připojené k vaší síti, a to podle příslušné IP adresy a MAC adresy. IP adresa, se kterou se budete zabývat, není veřejná (tj. Jedinečná internetová) IP, ale IP adresa ve vaší interní síti (nazývané také místní síť nebo LAN), kterou váš router přidělí každému zařízení na ní.

Lokální sítě

Každé zařízení musí mít adresu, která je v síti LAN jedinečná, aby mohla komunikovat se směrovačem, ať už zařízení používáte k připojení k internetu nebo k hovoru s jinými zařízeními v síti LAN. Směrovače ve většině případů přiřazují IP adresy LAN dynamicky, přičemž různá zařízení získávají různé IP adresy v různých časech, nikoli staticky (tj. Dávají stejnému zařízení pokaždé stejnou adresu). Obecně router rezervuje rozsah adres a přiřadí první adresu v rozsahu prvnímu zařízení, které se k němu připojí, pak druhou adresu druhému připojovacímu zařízení atd.

Řízení přístupu k médiím

Jak již bylo uvedeno dříve, MAC adresy jsou dalším hlavním označením, které směrovače používají, obvykle ve spojení s IP, k odlišení připojených zařízení. MAC nemá nic společného s produkty Apple, ale spíše odkazuje na adresu Media Access Control zařízení. Toto je sériové číslo hardwaru, které je zabudováno do bezdrátové karty (nebo technickyji do řadiče síťového rozhraní nebo NIC) každého zařízení. Jako takový se téměř nikdy nemění.

Názvy hostitelů

V závislosti na směrovači můžete také získat informace o názvu hostitele zařízení nebo jiný druh identifikačních údajů. Název hostitele je název, který si počítač sám říká. To může být buď záměrně vybráno uživatelem, nebo nastaveno automaticky operačním systémem zařízení.

Značka a model zařízení

Další způsob, jakým směrovače někdy rozlišují zařízení, je hádání a zobrazení značky a (v některých případech) modelu zařízení. Jak to určuje? Výrobci často rezervují řadu prvních tří (ze šesti) segmentů na MAC adrese pro svou společnost nebo dokonce pro konkrétní modely NIC, které vyrábějí, aby jejich NIC bylo možné snadno identifikovat jak v rámci společnosti, tak veřejně. Tento trojjednotkový označovač se nazývá OUI a po detekci MAC některé směrovače vyhledají tabulku známých bloků OUI a přiřadí odpovídající položku k popisu zařízení.

Jak vyhledávat zařízení pomocí Wi-Fi

Existuje několik způsobů, jak vyhledat zařízení připojená k vaší síti. První metodou (a tou, kterou tato příručka přijme, pokud jde o blokování podezřelých zařízení), je nahlédnutí do webového grafického uživatelského rozhraní (GUI) routeru. Téměř všechny spotřebitelské routery mají webové uživatelské rozhraní, ke kterému máte přístup (ze sítě LAN) zadáním vlastní IP adresy LAN do svého prohlížeče-toto lze obvykle najít v uživatelské příručce k routeru nebo, pokud tomu tak není, ve fórech podpory online .

Některý firmware routeru umožňuje zobrazit historické seznamy adres MAC, které se přihlásily do sítě, ale téměř všechny vám poskytnou prostředky ke kontrole adres MAC v současné době připojená zařízení. Pokud má váš směrovač funkci safelistingu/blokování, je prakticky zaručeno, že váš router má jednu nebo druhou z těchto možností, protože jinak by bylo obtížné zjistit, které MAC zadat.

Uživatelské rozhraní Netgear genie v prohlížeči Firefox, na stránce obsahující tabulku se seznamem IP adres LAN a MAC adres připojených zařízení

Historické protokoly

Druhou cestou k vytvoření seznamu připojených zařízení jsou historické protokoly routeru. Ne všechny směrovače dávají administrátorům přístup k úplným protokolům, ale pokud můžete otevřít nějakou podmnožinu protokolů, existuje možnost, že si můžete zobrazit historický záznam MAC, které se připojily. Nejsou to zdaleka jediné způsoby, jak vytvořit základní katalog zařízení v síti, ale jsou to ty, které jsou jednoduché a zapadají do rozsahu tohoto tutoriálu.

Blokování Rogue Devices

Pokud váš součet síťových zařízení odhalil nepoctivé zařízení, dalším krokem bude jeho zablokování. Nejlepším způsobem, jak toho dosáhnout, je buď zavedení safelistu, nebo zásad blokování, obecně známých jako whitelisting nebo blacklisting, v daném pořadí (ačkoli tyto termíny vypadávají z módy pro safelist a blocklist).

Seznam blokovaných

Kterou z těchto taktik byste tedy měli použít k získání lidí z vaší sítě Wi-Fi? Seznam bloků je dobrý, pokud se topografie vaší sítě (zařízení, která se k ní obvykle připojují) poměrně pravidelně mění, nebo pokud používáte zařízení, jejichž adresy MAC si nejste jisti. Jakmile zjistíte neoprávněného uživatele, jednoduše zadáte jeho MAC adresu do zásad blokování a všem zařízením odpovídajícím této MAC adrese (která by měla být pouze té) bude odepřeno připojení.

Zabezpečení

Safelisting je však mnohem bezpečnější politika, protože blokuje všechna zařízení, která ne odpovídat seznamu uvedených autorizovaných MAC adres. To je také dobré, pokud je váš nepoctivý uživatel poněkud propracovaný a používá MAC spoofing. Spoofing MAC je softwarová technika, která umožňuje lidem odeslat falešnou MAC adresu podle svého výběru, nikoli adresu zabudovanou do NIC svého zařízení. Zatímco MAC spoofing může snadno obejít blokové seznamy, protože útočník jednoduše potřebuje jakoukoli z miliard MAC adres, které nejsou ve vašem seznamu, aby se dostal kolem safelistu, musel by útočník uhodnout jedno z mála zařízení, které mít výslovně povoleno, což je velmi nepravděpodobné, pokud se nezačnou více snažit vás špehovat (což je daleko nad rámec této příručky). Chcete -li to provést, musíte zadat MAC adresu každého zařízení, které budete vy a další autorizovaní uživatelé sítě chtít v síti používat. Nemusíte to hned na první pokus získat, takže pokud je v safelistu alespoň jedno zařízení, které můžete ovládat, můžete se přihlásit zpět do uživatelského rozhraní routeru a přidat (nebo odstranit) MAC ze seznamu.

Jak vyhodit lidi z Wi-Fi

Směrovače od různých výrobců, a dokonce i směrovače různých generací nebo produktové řady od stejného výrobce, se mohou v uživatelském rozhraní značně lišit, takže neexistuje jediný soubor směrů, které by fungovaly na všechno. Abychom ukázali základní koncepci implementace safelistické zásady, je zde příklad použití běžného spotřebitelského routeru Netgear (řada N) s nainstalovanou nejnovější verzí firmwaru. Vzhledem k tomu, že tento model umožňuje pouze seznam safelistů, a protože se jedná o doporučenou zásadu pro zabránění vetřelcům mimo vaši síť, níže uvedené kroky tuto metodu předvedou.

  1. Zjistěte MAC adresu autorizovaných zařízení, která jsou již připojena. Nejlepší je začít s těmito a poté přidat další zařízení, která chcete připojit později podle potřeby místo toho, abyste čekali na katalogizaci každého zařízení, které chcete připojit. Vypnutí několika legitimních uživatelů a všech nelegitimních uživatelů je nyní lepší než nechat každého legitimního a nelegitimního uživatele pokračovat v přístupu do vaší sítě, zatímco budete lovit všechna svá zařízení.

  2. Přejděte na stránku zásad zabezpečení webového grafického uživatelského rozhraní routeru. Tomu se může říkat něco jiného než „seznam safelistů“, například „přístupový seznam“, takže pokud máte potíže s vyhledáním, zkontrolujte si jakoukoli stránku se synonymním názvem.

    Stránka webového uživatelského rozhraní Netgear genie pro Pokročilá nastavení bezdrátového připojení v prohlížeči Firefox

  3. Vyberte možnost Upravit tabulka safelistické politiky, ale zatím nezapínejte.

    Stránka webového uživatelského rozhraní Netgear genie pro Pokročilá nastavení bezdrátového připojení v prohlížeči Firefox

  4. Na každý řádek přidejte jednu z MAC adres, které chcete autorizovat, a jakékoli další relevantní nebo užitečné informace, které chcete doprovázet, například název nebo popis zařízení. Opakujte to pro každý MAC, který chcete autorizovat.

    Webová stránka Netgear genie USA se dvěma textovými poli se zadaným textem v prohlížeči Firefox

  5. Až dokončíte přidávání všech zařízení, která chcete zahrnout, aktivujte zásadu safelistu. Pamatujte si, že se můžete vrátit a upravit tyto zásady a přidávat nebo odebírat zařízení, jak se mění uživatelé ve vaší síti.