29.01.2021, 12:01

Peenhäälestame tulemüüre – sest seadmete ja paroolide turvalisus jätab alati soovida

ajakiri Kaitse kodu!

(Foto: Pixabay / Robinraj Premchand)

Nii nagu omaaegsed Vasara lukud polnud vara kaitsmiseks parimad, ei ole ka karbist väljavõetavad kommunikatsiooniseadmed koheselt kasutatavad inimestele, kes peavad lugu oma turvalisusest ja privaatsusest.

Tulemüüride ning igasuguste võrguseadmete ja nende osade tarkvara juures on suur kiusatus kasutada kõikvõimalikke viisareid ja „abimehi“, et asjad kiiremini tehtud saaksid. Sageli on algajale ja ennast mitte liigkindlalt tundvale inimesele sellest palju abi, kirjutab Hanno Saks Kaitseliidu Pärnumaa maleva küberrühmast ajakirjas Kaitse kodu! 1/2021.

Alati peab aga meeles pidama, et viisarid ja abimehed ei küsi kunagi kasutajalt infot 100% kõige kohta ja paljud seaded jäävad vaikimisi määrangutesse.

Iga selline seade on aga samamoodi teada kõigile teistele. Seega tuleks seadme või tarkvara poolt tehtud seaded alati üle vaadata. Eriti puudutab see seadmeid nagu järjest enam levivad nutika kodu lahendused: hääljuhitavad assistendid, LED-lambid, kõikvõimalik sensoorika kodu eri parameetrite jälgimiseks.

Eriti hoolas tuleb olla seadmetega, mis mitte ainult ei jälgi, vaid millel on võimalus ka teatavate rutiinide kaudu iseseisvalt tegevusi algatada. Sellisteks on eeskätt mitmesugused koduassistendid: Alexa, Siri jms.

Sellised seadmed on tavaliselt koduses või väikeettevõtte võrgus ühendatud wifi kaudu ja neile ligipääsuks on vajalik ligipääs sellele konkreetsele wifi-võrgule.

Siia hakkab juba joonistuma väga selge privaatsuse ja andmekaitse piir. Näiteks võidakse beebimonitore ära kasutada kodustesse võrkudesse häkkimiseks või ebaseaduslikuks jälitustegevuseks. Vahet pole, kas motivatsiooniks on ahnus, kättemaks või diagnoos.

Nimed seadmetes

Seadete all pakutavad nimed võrkudele ning vaikimisi paroolid on esimesed ja kõige hapramad turvaelemendid.

Pikka aega oli meil sagedasti kasutatavate koduste seadmete probleemiks, et tarnija seadistatud vaikimisi võrgunime (SSID) järgi oli võimalik jälile saada ka võrku turvavale WiFi-key’le ehk paroolile.

Seega esimese asjana tuleb ruuteri ja tulemüüri juures ära muuta kõik viisari (abimehe) poolt vaikimisi pakutud võrkude ja seadete nimed.

Võrgunimega saab minna ka teise äärmusesse, valides nime, mis näitaks ümbritsevatele oma meelsust või arvamust. Suurte kortermajade WiFi-võrkudel ei ole haruldased nimed, milleks on valitud mõnda naabrit, avaliku elu tegelast, ühiskondlikku olukorda või sättumust iseloomustav loosung.

Siin saame aru, et 256 tähemärki on samuti jõud. Nagu iga jõudu, saab sedagi kuritarvitada. Soovitaksin valida võrgu nimeks mingi numbrite ja tähtede kombinatsioon, mis on teile endale teada, ja seda võrgus mitte levitada ehk võtta ära „linnuke“ määratluse SSID broadcast eest.

Enamik seadmeid võimaldavad seda. Nii saavutame juba olukorra, kus uks, mida kaitseme, on võõra pilgu eest varjatud. Mida ei tea, seda ei oska otsekohe rünnata.

Paroolid

Paroolide loomiseks sai Pärnumaa noorte kotkaste ja kodutütarde suvises maakonnalaagris lastele välja pakutud meetod, mis kasutab ära olukorda, et eestlasi on maailmas vähe ja meie kirjakeel on keeruline. Samasugust põhimõtet kasutati ka II ilmasõja ajal vist ainsana lahtiharutamata jäänud infoedastuse juures.

Lastele sai õpetatud, et enamikul meist on mõni lemmikluuletus või -jutt. Kui võtta parooliks sellest pähekulunud tekstist teatud osa koos kirjavahemärkide ja suurtähtedega, saame salasõna, mis on 99,99… protsendile maailma inimestest sisuliselt lahtimuukimatu.

Vaja on vaid õpetada oma sõrmedele selgeks selle salasõna kiire ja veatu sisestamine erinevatel seadmetel. Selle meetodiga pole vaja ka karta, et parool meelest ära läheb. See on oluliselt parem kui 12–16kohaliste tõeliselt suvaliste järjestuste piinlik meeldejätmine.

Alati ei ole abi ka paroolihalduritest, sest neidki kaitsevad paroolid ja sellisel juhul on ühe parooli äraarvamise korral ligipääs kõigile salasõnadele. Tõsi, neid keskkondi kaitsevad mitmetasemelised autentimised ja muud kõrgendatud turvalisust pakkuvad meetodid. Kuid tõsiasi jääb, et kui kõik on ühes kohas, siis on kõik ka korraga saadaval.

Võrgukaardiaadress (MAC)

Tulemüüri reeglite seadmisega samaväärne turvalisuse komponent on ligipääsude piiramine.

Enamikku tänapäevastest tulemüüridest on sisse ehitatud ka Access Control List’i (ACL) seaded ja poliitikad. See tähendab, et seade vastab ainult neile seadmetele ja suhtleb ainult nendega, mille võrguaadress (MAC) on sellesse nimekirja lisatud.

Selle konfigureerimine on lihtne. Olukorras, kus kõik vajalikud seadmed on võrgus ja sisse lülitatud, tuleb vaadata ühendatud seadmete nimekirjast, kes need on, ja koos võrguseadmete nimedega on antud ka nende aadressid.

Tavaliselt on need kujul AB:CD:EF:01:23:45 ehk siis kuus kahesümbolilist (0-1 ja A-F) gruppi, mis on eraldatud koolonitega. See on unikaalne aadresside kuju üle terve maailma.

Kui nende ühendatud seadmete aadressid lisada ligipääsutabelisse (ACL), saavad teie seadmele ja seeläbi ka võrgule ligipääsu vaid teie poolt määratud seadmed.

See ei ole 100% turvalisust pakkuv lahendus ja hästiõpetatud kurikaelad saavad sellest mööda hiilida, kuid algajaid „skriptijuntsusid“ peab hästi kinni. Selliste ligipääsunimekirjade puhul peab aga silmas pidama, et teid külastavad sõbrad ei pääse samuti teie võrku, kui te neid eraldi ei lisa.

Ligipääsunimekirjade juures tuleks veel ära mainida, et ühe esimese asjana tuleks erinevates tulemüürides, millel on ka wifi-võime, ära keelata WPS-tehnoloogia. See võrgule lihtsustatud ligipääsu pakkuv tehnoloogia on vananenud ja ebaturvaline.

Turvalisus ja privaatsus suurenevad alati koos kasutusmugavuse vähenemisega. Eks see ole nii kõigis eluvaldkondades. Kellele Tesla, kellele Jimny.

Kommenteeri Loe kommentaare