Ihmetellessäni 600Mbit/s kaapelimodeemiyhteyteni hidastelua (sain speedtest.net vain n. 200Mbit/s) havaitsin että wifi-tukiasemaani oli tunnistamieni koneiden ja tablettien lisäksi yksi nimetön, "Unknown" wifi-käyttäjä mitä en millään keksinyt mikä laitteeni olisi, IoT-telkkarini ja pyykinpesukoneenikin tunnistin. Tuossa yhteydenottajassa oli sekin outous että ilmeisesti sillä oli vain IPv6 käytössä, ainakaan reititin ei ollut jakanut sille mitään IPv4 NAT-osoitetta kuten kaikille muille laitteille.
Ainoaksi selitykseksi keksin että joku naapuri on onnistunut bruteforcettamaan wifi-salasanani, joten vaihdoin sen toiseen ei niin hirmuisen pitkään mutta mutta ei ihan lyhyeenkään. Myöhemmin sama "unknown" ilmestyi uudestaan, tällä kertaa laitoin MAC-osoitteen eston päälle mutta seuraavana päivänä tuli takaisin uudella MAC-osoitteella.
Aika turhaahan tuo MAC-filtteröinti tuntuu nykyaikana olevan, poikani tabletitkin ilmeisesti arpovat uuden MAC-osoitteen joka kerta ja ulkopuolinen pystyy näkemään reitittimessä kiinni olevat MAC-osoitteet ja käyttämään niitä, jos internettiä on uskominen...
Joten nyt sitten laitoin oikein tosi tosi pitkän ja monimutkaisen salasanan, katsotaan pysyykö tunkeilija nyt kauemmin poissa. Ainakin on nyt kaksi päivää pysynyt poissa, en halua kustantaa muiden Neflixin katsomista tai torrenttipiratismia.
Mutta mites turvallinen WPA2 enää on pitämään bruteforcettajat ulkona, onko kohta taas takaisin vaikka olisi 62-merkkinen salasana? Tässä operaattorin toimittamassa reitittimessä ei ole WPA3-tukea joten pitäisikö vaihtaa uudempaan jossa sellaisen tuki on, mutta osaavatko yhtään vanhemmat tabletit ja läppärit sitten ottaa yhteyttä reitittimeen ollenkaan? Käsitin Wikipediasta että WPA3 tuki tuli pakolliseksi "Wi-Fi Certified"-laitteille vasta 2020. Toki voisihan sitä asettaa että hitaampi 2G kaista olisi sitten WPA2 ja uudemmat laitteet voivat käyttää 5G/WPA3... Sitten kun kaikki omat laitteet ovat niin uusia että osaavat WPA3, voisi 2G/WPA2 sulkea kokonaan reitittimestä.
Mulle kelpaisi vaikka joku varmennesysteemi missä yhteyttä ottavalla laitteella pitää olla hyväksytty varmenne (vähän kuin ssh-avain), käsittääkseni WPA2:n (ja 3:n) yritysversiossa on tällainen mahdollisuus mutta kotiversiossa ei, siinä mennään vain salasanalla? Ei ole tarvetta päästää kuin omat tietyt laitteet wifillä nettiin, kaikilla vierailla on puhelimissaan jo omat nettiyhteydet niin ei tarvitse yhteyttä ulkopuolisille lainailla kuten joskus 10-15 vuotta sitten jolloin vieraat aina kysyivät wifi-salasanaa jollekin tuliterälle iPad 1:lleen.
Muita ideoita wifi-reitittimen koventamiseksi? Nykyinen reititin on pari vuotta vanha ja käsittääkseni mahdolliset firmispäivitykset tulevat operaattorilta, en tiedä milloin tullut viimeksi mutta ainakin valmistajan logossa on vuosiluku 2024 joten aiemmin tänä vuonna luullakseni päivittynyt. Operaattori myös myy WPA3-tuellista kaapelimodeemia, ehkä pitää kysäistä saako vanha asiakas sellaista jollain hyvällä diilillä vai uhkaanko vaihtaa toiselle operaattorille...
Se minkä option yritän myös löytää ettei reitittimen hallintasivulle pääsisi muulla kuin eth-kaapelilla, kuten edellisessä reitittimessä oli. Tässä pääsee mikä tahansa wifillä kiinni oleva kone hallintasivulle jos tietää salasanan, onhan se kätevää mutta mieluummin rajoittaisin pääsyn vain fyysisesti reitittimessä kaapelilla kiinni olevaan PC:seeni.
Ainoaksi selitykseksi keksin että joku naapuri on onnistunut bruteforcettamaan wifi-salasanani, joten vaihdoin sen toiseen ei niin hirmuisen pitkään mutta mutta ei ihan lyhyeenkään. Myöhemmin sama "unknown" ilmestyi uudestaan, tällä kertaa laitoin MAC-osoitteen eston päälle mutta seuraavana päivänä tuli takaisin uudella MAC-osoitteella.
Aika turhaahan tuo MAC-filtteröinti tuntuu nykyaikana olevan, poikani tabletitkin ilmeisesti arpovat uuden MAC-osoitteen joka kerta ja ulkopuolinen pystyy näkemään reitittimessä kiinni olevat MAC-osoitteet ja käyttämään niitä, jos internettiä on uskominen...
Joten nyt sitten laitoin oikein tosi tosi pitkän ja monimutkaisen salasanan, katsotaan pysyykö tunkeilija nyt kauemmin poissa. Ainakin on nyt kaksi päivää pysynyt poissa, en halua kustantaa muiden Neflixin katsomista tai torrenttipiratismia.
Mutta mites turvallinen WPA2 enää on pitämään bruteforcettajat ulkona, onko kohta taas takaisin vaikka olisi 62-merkkinen salasana? Tässä operaattorin toimittamassa reitittimessä ei ole WPA3-tukea joten pitäisikö vaihtaa uudempaan jossa sellaisen tuki on, mutta osaavatko yhtään vanhemmat tabletit ja läppärit sitten ottaa yhteyttä reitittimeen ollenkaan? Käsitin Wikipediasta että WPA3 tuki tuli pakolliseksi "Wi-Fi Certified"-laitteille vasta 2020. Toki voisihan sitä asettaa että hitaampi 2G kaista olisi sitten WPA2 ja uudemmat laitteet voivat käyttää 5G/WPA3... Sitten kun kaikki omat laitteet ovat niin uusia että osaavat WPA3, voisi 2G/WPA2 sulkea kokonaan reitittimestä.
Mulle kelpaisi vaikka joku varmennesysteemi missä yhteyttä ottavalla laitteella pitää olla hyväksytty varmenne (vähän kuin ssh-avain), käsittääkseni WPA2:n (ja 3:n) yritysversiossa on tällainen mahdollisuus mutta kotiversiossa ei, siinä mennään vain salasanalla? Ei ole tarvetta päästää kuin omat tietyt laitteet wifillä nettiin, kaikilla vierailla on puhelimissaan jo omat nettiyhteydet niin ei tarvitse yhteyttä ulkopuolisille lainailla kuten joskus 10-15 vuotta sitten jolloin vieraat aina kysyivät wifi-salasanaa jollekin tuliterälle iPad 1:lleen.
Muita ideoita wifi-reitittimen koventamiseksi? Nykyinen reititin on pari vuotta vanha ja käsittääkseni mahdolliset firmispäivitykset tulevat operaattorilta, en tiedä milloin tullut viimeksi mutta ainakin valmistajan logossa on vuosiluku 2024 joten aiemmin tänä vuonna luullakseni päivittynyt. Operaattori myös myy WPA3-tuellista kaapelimodeemia, ehkä pitää kysäistä saako vanha asiakas sellaista jollain hyvällä diilillä vai uhkaanko vaihtaa toiselle operaattorille...
Se minkä option yritän myös löytää ettei reitittimen hallintasivulle pääsisi muulla kuin eth-kaapelilla, kuten edellisessä reitittimessä oli. Tässä pääsee mikä tahansa wifillä kiinni oleva kone hallintasivulle jos tietää salasanan, onhan se kätevää mutta mieluummin rajoittaisin pääsyn vain fyysisesti reitittimessä kaapelilla kiinni olevaan PC:seeni.
Viimeksi muokattu:
