Éjszakai őrség

Több WiFi routert is sikerült az ünnepek alatt bekonfigurálnom. Kicsit úgy tűnik, a laposabb tévék és az okosabb telefonok mellett ez is népszerű ajándék volt sokak fája alatt. Mindenhol elmondtam a szent leckét a drótnélküli internet mibenlétéről. A fontosabb bekezdéseket itt is megismétlem, így a következő telepítéskor csak előszedetem ezt a posztot. :)

Bekötés

A routert valahogy be kell kötni a rendszerbe. Kell neki táp :) és persze jó, ha látja azt az internet kapcsolatot is, amit aztán ő akár dróton vagy anélkül tovább tud osztani a család és a megbecsült vendégek eszközei (laptop, iPhone, X-Box, stb.) számára.

A router drótnélkülisége persze alapból nincs beállítva, így eléréséhez és konfigurálásához első körben - akármilyen viccesen is hangzik - kell drót. Ráadásul kettő, ha még az internetet is be akarjuk lőni. Az egyik drót a routert köti össze az ADSL vagy más, a szélessávú elérésünket biztosító eszközzel, a másik dróttal magát a routert érjük el a konfigurálást végző gépről.

A PC-nket vagy laptopunkat egy sima hálózati kábellel kötjük össze a router LAN dugaszai közül az első számúval, a WAN dugaszba a modemből jövő drótot dugjuk be. Nem nagyon lehet eltéveszteni, de azért Erős Pisták ne alkalmazzanak túlzásokat. Jó esetben ennyi, mehetünk a konfigurálás újabb fejezetéhez.

Elérés

A modern router-ek saját maguk tartalmazzák a konfiguráló programjukat, CD, DVD, de még pendrive sem kell ahhoz, hogy ezt elérjük és ehhez egy böngésző éppen elég is lesz. Eszköze válogatja, milyen címen érhető el a belső program, általában ezt kell beírni a címsorba: http://192.168.1.1 (menni fog http:// nélkül is). Akiknek már van működő WiFi hálózatuk, és rákattintanak erre a linkre, meglehet, meglepődnek, hogy ezen a furcsa címen jelentkezik valami "weboldal". Pedig de. Szerencsés esetben persze az első oldaltól nem lehet tovább jutni, mert a routert jelszó védi, de ennyire azért ne rohanjunk előre.

A modern router-ek saját maguk tartalmazzák a konfiguráló programjukat, CD, DVD, de még pendrive sem kell ahhoz, hogy ezt elérjük és ehhez egy böngésző éppen elég is lesz. Eszköze válogatja, milyen címen érhető el a belső program, általában ezt kell beírni a címsorba: http://192.168.1.1 (menni fog http:// nélkül is). Akiknek már van működő WiFi hálózatuk, és rákattintanak erre a linkre, meglehet, meglepődnek, hogy ezen a furcsa címen jelentkezik valami "weboldal". Pedig de. Szerencsés esetben persze az első oldaltól nem lehet tovább jutni, mert a routert jelszó védi, de ennyire azért ne rohanjunk előre.

A fenti cím helyett számos egyéb cím is működhet, a router gyártója ezt közli a dokumentációban. Általában a fenti cím működik, de népszerű még a http://192.168.2.1 és alkalmasint a http://192.168.0.1 végződés is. Vannak ezeken kívüliek is, személy szerint http://192.168.100.1-et is és http://192.168.55.1-et is láttam már.

A router nincs nyitva, admin felhasználóként be kell lépni, sok esetben az admin név mellé admin jelszó párosul. Ha eltérő a helyzet, a router doksija közli ezt.

En garde

Az első és legfontosabb lépések, hogy védd meg magad. Kötelező feladat: az alapértelmezett jelszót LE KELL CSERÉLNI! Magára vessen az, aki ezt úgy hagyja, ahogy kapta. Nem sorolom fel, mi mindenért keresnek huncutok szabad elérésű WiFi pontokat, örüljünk, ha pusztán a Facebook potya megnézéséért lépnek rá a nyitva hagyott hálónkra. Nem mutatnék screenshot-ot, mert minden routerben máshol, de még angolul alig beszélőknek is elég hamar megtalálhatóan feltűnik a jelszóváltoztatási oldal. (Change password.)

A router által biztosított hálózatnak alapból van neve, ez az úgynevezett Wireless Network Name, helyenként azonban csak SSID rövidítéssel hivatkoznak rá. Ha laptoppal vagy WiFi-s telefonal kóboroltál már, és kerestél hálózatot, ezeket a neveket listázta az eszközöd. Ezt a nevet szabad megváltoztatni, indoknak mindenki azt hozhat fel, amit akar: nem szimpatikus a gyári név, muszáj gizda nevet adni otthonra, vagy csak közölni akarod a szomszéd csajszival, hogy jó nálad. Mert ilyen is van ám. :)

Az SSID definiálásánál egy nagyon fontos kapcsolót láthatunk, a broadcast engedélyezése/tiltása jelzésűt. Csak nagyon ódivatú routerek nélkülözik ezt a beállítást. A következőt lehet vele művelni.
a) Ha engedélyezed a broadcast-ot (enable), akkor a router hirdetni fogja magát, szétszórja az SSID-t a levegőben és csábítja a felhasználókat arra, hogy "Ide, ide, engem így hívnak, akarsz-e ugye rajtam keresztül internetezni?" és a neve megjelenik a fentebb említett WiFi listában.
b) Ha azonban tiltod a broadcast-ot (disable), akkor a router hallgat, mint szar a fűben, és csak arra a kérdésre válaszol, ha valaki ismeri az ő nevét. Azaz "Van-e itt olyan router, hogy LacikaWifi2011?", ami kérdést megfelelően be lehet állítani a WiFi képes eszközökben, úgynevezett kézi hálózat beállítással, nem részletezem.

Érezhető, hogy a b) beállítás emeli a biztonsági fokozatot, hiszen egy otthoni WiFi hálózatnak ugyan miért kellene látszódnia a szomszédnál, az utcán akárkinek, de akár száz méterekre is, okos és erős WiFi vevők tulajdonosainál.

Egyéb beállításokba most nem mélyednék el, az alap értékekről annyit elég most tudni, hogy úgy vannak összelőve, hogy a router ezekkel rendesen meg tud majd szólalni, tudja majd osztani az internetet, persze ha majd lesz neki is. Ez a következő fejezet tárgya, a védelemhez még vissza fogunk térni pár bekezdés erejéig.

Internet csatlakozás

Alapvetően két különböző netes kapcsolatot nézünk meg, egy kábeltévéset és egy ADSL-es verziót.

Mindkét esetben a WAN beállításokat kell valahogy megtalálni (Wide Area Network), és lehetőleg a modem és a router már össze legyen kötve kábellel.

A router automatikusan tud csatlakozni a kábeltévés hálózatokhoz, ha a kapcsolat típusát (Connection Type) automatikusra, vagy ha csak rövidítve van írva, akkor DHCP-re állítjuk. Ez a legegyszerűbb beállítás, ezt leokézva a router már él, és szórja a netet annak, aki ismeri az SSID-t.

Ha felhasználói név és jelszó is kell a szélessávú kapcsolathoz, akkor PPPoE (Point-To-Point-Over-Ethernet) kapcsolatot kell választanunk. Itt fel fog majd tűnni egy felhasználói név és egy jelszó mező is, ide azt az értéket kell beírni, amit korábban a modemes csatlakozásnál használtunk, az internetszolgáltató doksijában ez benne van. Ezt leokézva a router szintén el tud már indulni.

Kábé ezen a helyen lehet olyan finomságokat is megadni, hogy a router hány kapcsolatot kezeljen, azaz ne engedjen, csak mondjuk maximum 10 csatlakozást, meg lehet adni, hogy a saját IP címe melyik legyen (a 192.168.1.1 értéktől szabad eltérőt megadni, az első két számot azonban nem szabad megváltoztatni, ennek okaira most szintén nem térünk ki), megmondhatjuk, hogy a routert igénybe vevő eszközök majd milyen belső IP címet fognak automatikusan kapni, mondjuk a 192.168.1.100 címtől indulva.

Ha a számítógépünk minden kapcsolódáskor automatikus tárcsázásra volt állítva, azt hagyjuk el és állítsuk az internetes kapcsolatot automatikusra, a router gondoskodik mindig a "betárcsázásról".

Viva, viva la internet

A fentiek után lennie kell drótnélküli internetünknek. Fontos tudni, hogy ha van még olyan számítógépünk üzemben, ami nem képes a WiFi-t kezelni, őkelmét dróttal a router akármelyik LAN portjára csatlakoztatva szintén tudja használni betárcsázás nélkül a szélessávunkat. Most kell igazából elkezdeni aggódni amiatt, hogy a csatlakozásunk mennyire biztonságos, kik használhatják, és így tovább, azaz ismét egy kis rövid biztonsági fejezet következik.

MAC address

Minden gép rendelkezik úgynevezett MAC address azonosítóval, helyenként ezt WiFi címként is aposztrofálják. A router-ünknek megmondhatjuk, hogy mely gépeket látunk szívesen a hálózatunkban, kik azok, aki egyáltalán használhatják a Wifi kapcsolatunkat.

A MAC address táblázat általában a Wireless security menüben érhető el, és MAC filter list néven fogjuk találni. Először is engedélyezni kell a szűrést (Enable MAC filtering, vagy Use filter), majd ezt leokézva gyorsan ki is tiltjuk magunkat a routerből, ha mondjuk laptopról konfigurálunk. :) Gondoskodni kell tehát arról, hogy a táblázatban legalább a saját gépünk MAC címe szerepeljen, persze tragédia nem tud történni, mert egy kábellel rátámadva a router-re, még mindig be tudunk lépni a konfigurációs felületre. A MAC address kábé így néz ki: 00:23:7E:1A:D3:84. Igen, számok és betűk kombinációjáról van szó, de a betűk közül csak az ABCDEF használatosak, nem részletezzük az okát. Sajnos nem sok router engedi meg, hogy a MAC address mellé felvegyünk valami extra szöveget is, hogy később emlékezzünk arra, melyik eszköznek is volt a címe az adott számsor. A dokumentumok mappában ezért nem nagyon árt, ha egy szöveges állományt elmentünk az adott címekkel, az alábbi lista egy példa erre.

E4:CE:4F:10:14:F4 iMac asztali
00:1C:BF:44:09:FF Zsoca iPhone 3G
70:1A:04:F3:CF:52 iPhone 4S
D4:20:6D:BE:39:B6 Ilike HTC
68:A3:CD:C9:22:A9 DELL munka
00:2C:00:FC:71:CE PS3
2B:6A:BA:A7:59:6B iPad2 dev
0A:23:6C:2B:78:BE Macbook Pro dev
78:D6:F0:B8:17:9A Macbook Air dev

Később, ha cserélni kell egy eszközt, vagy valami miatt már nem akarjuk engedni a hálózatra az adott című gépet, egyszerűen csak kitöröljük a címét a filter táblából, leokézzuk, és kész.

Nade honnan tudom meg, mi az a MAC address?

Egyszerű kérdés. PC-n indítsuk el a Start menüben a CMD programot és az érkező fekete képernyőben gépeljük be ezt: ipconfig /all. (A per jel előtt legyen egy szóköz.) Itt sok-sok kiírás közt fel fog tűnni egy ilyen bekezdés: Vezeték nélküli hálózati kapcsolat vezeték nélküli hálózati adapter, és itt ilyesi formában majd látható lesz a MAC address: 78-D6-F0-B8-17-9A. A mínusz jeleket a Mac filter listában célszerű kettőspontra cserélni. Van router, ami megeszi mínusz jellel is, de általában nem.

iPhone esetében ezt a menü útvonalat kell követni: Beállítások/Általános/Infó/Wi-Fi cím, és ott lesz a MAC address. Egyéb okostelefonokból sem nehéz ezt kihámozni, mindegyiket nem listázzuk.

Erősítsük a védelmet

Az SSID eltitkolása és a MAC address szűrése már messze több védelem, mint amit a legtöbb helyen láttunk, de még korántsem elég. Zárjuk is be azonosító és jelszó mögé az elérést, és titkosítsuk is a kapcsolatunkat. Egyszerűbb lesz, mint azt elsőre gondolná bárki.

A router Wireless Security szekciójában kell ismét keresgetni, és a Security Mode című választót, és itt annak függvényében, hogy a csatlakozó eszközök milyen titkosítást tudnak kezelni, állítsuk be a WPA, WPA2, WEP titkosításokat. A WPA2 Personal-t választva meg is kell adnunk az úgynevezett WPA shared key értékét, ami nem lesz más, mint az adott SSID-re csatlakozáskor igényelt jelszó.

Összefoglalva a biztonságról legfontosabbakat, mikre kell figyelni:

• új jelszóval lezárt admin panel
• megváltoztatott SSID
• SSID broadcast tiltása
• titkosítás és jelszó beállítása a csatlakozó gépek ré
• MAC filter beállítása

Haladóknak

Ha mások routerét kell menedzselni, nem biztos, hogy probléma esetén lesz mindig elég idő a helyükbe menni. Ha tehetjük, eleve javasoljuk nekik olyan router beszerzését, ami távolról is menedzselhető. Ezért a kiegészítő funkcióért szinte alig kell felárat fizetni, már 10-15.000 Ft közt is kapható kiváló eszköz, amit dinamikus DNS szolgáltatókkal össze lehet kapcsolni.