Language switcher

WiFi kasutamisest

Soovitused on aastast 2012.

CERT-EE käest on küsitud eeskirju WiFi kasutamiseks avalikus sektoris. Universaalseid eeskirju on aga väga keeruline koostada, kuivõrd WiFi on lihtsalt üks tehniline vahend (nagu kirves, labidas või auto). WiFi tehnoloogial on väga suur hulk võimalikke kasutusalasid. Eeskirjade sisu oleneb konkreetsetest turvariskidest – mida kaitsta ning kelle eest; neid asjaolusid aga pole võimalik hinnata teadmata võrgu omanikku, asukohta ja kasutusotstarvet. See on põhjus, miks universaalseid eeskirju ei saa tekkida.

Eesti seadused WiFi kasutamist otseselt ei reguleeri, selle poolest erineb Eesti näiteks Saksamaast, kus koopiaõiguse forsseerimise eesmärgil saab alates aastast 2010 trahvida iga anonüümselt ligipääsetava tugijaama valdajat. Eestis on WiFi tugijaamad avatud igal tänavanurgal ja kohvikus ning need on pigem meie rahvusliku eripära ja uhkuse tunnuseks. Pole teada, kas ning kui kaua õnnestub üleilmsest terrorismipaanikast põhjustatud anonüümsusfoobia valguses säärast paradoksi säilitada.

Ülalöeldu tõttu on otstarbekas elanikkonna teadlikkuse tõstmine laiemalt ning mitte konkreetse etalon-kasutusjuhise väljatöötamine.

Tehnoloogia mõjust

10 aastat tagasi saabus arvutivõrk enamike jaoks juhet pidi ning linnaruumi ruutkilomeetril paiknes keskmiselt vaid paar kiirgajat. WiFi tehnoloogia edu ja ühtlasi murede juurpõhjus seisneb raadiolainetes – nimelt raadiolainete omaduses levida keskkonnas vabalt – neil puudub üheselt tuvastatav sihtpunkt. Passiivse tarbimise (pealtkuulamise) puhul pole võimalik tarbijat leida, aktiivse sekkumise korral on sidepartneri hilisem tuvastamine võimalik, kuid ühtlasi ka aeglane, keerukas ja kallis. Aksioom kõlab, et WiFi puhul ei saa mitte ühegi turvameetmega lõplikult kõrvaldada raadiolainete anonüümsust ega ka täielikult kompenseerida lainete levi iseärasusi.

 • Raadiotehniline riskihaldus – tavakodanik on mõned raadiotehnika põhitõed tänaseks omandanud, kuid seda pigem tänu mobiiltelefonide kuuldavusprobleemidele ning ülemineku tõttu digilevile. Peegeldused ja suure võimendusteguriga suundantennid (ning selle kaudu saavutatav sotsiaalne/majanduslik üleolek) on enamike kasutajate jaoks seni endiselt müstika. Lisalugemist – google: wardriving.
 • Võimetus VPN tunnelit kasutada. Mingil ajahetkel (2005–2008) pakkusid täiesti tasuta VPN tunneli teenust nii EMT kui Tele2, kuid WiFiga sülearvutitest ei moodustunud tollal kriitilist massi. Tänaseks on saabunud murdepunkt, kus uuemad nutitelefonid juba on võimelised VPN klientprogramme kasutama ... kahjuks puudub nüüd mugav ja odav otspunkt, mille pihta oma VPN suunata.
 • Labased vead nagu distrost päritud SSL võtmed, seerianumbrist tuletatud paroolid ja seadme firmware kuriuuendamine läbi puhvri ületäitumise.

Muudest mõjudest

(ja see on tänase jutu peateema)

Aastal 2012 määrab WiFi seadmete kasutamise mitte enam tehnoloogia, vaid WiFi seadmete ülesseadmine ja opereerimine on (sarnaselt muu kübervaldkonnaga) muutumas sotsiaalseks väljakutseks.

Siinkohal loetelu põhjustest, mis tingivad uue lähenemise:

 • Tehnoloogia penetratsioonitase – väga suur osa ühiskonnast kasutab WiFi tehnoloogiat - nutiseadmed, sülearvutid jne – ning kui selle kasutusega (üldisemalt) on midagi valesti, siis on see mitte ühe isiku juhuslik õnnetus, vaid kogu ühiskonda haarav sotsiaalne probleem. (Sama väide kehtib, kui midagi peaks juhtuma GSM turvalisusega.)
 • WiFi tugijaam kui tarbeese on muutumas mugavuse- ning elustiili-atribuudiks – on jõudnud igasse koju ja kohvikusse. Üha rohkem erialase ettevalmistuseta inimesi üritavad iseseisvalt tugijaamu üles seada ning teevad seda puhuti viisil, mis on (neile endile või kellelegi teisele) ebaturvaline või suisa ohtlik.
 • WiFi ei ole sugugi ainuke ega kõige hullem turvalekkekoht. Kriminaalne varimajandus, pidevad vead nii operatsioonisüsteemides kui brauserites, odavalt ning ebaturvaliselt peetavad veebiserverid on oluliselt suurendanud igapäevaste turvaintsidentide arvu ning rahasummat, mis kulub säärastega võitlemisele. WiFi teema on vaid üks paljudest turvateemadest, mistõttu on raskusi sellele fokuseerimisega.
 • WiFi tugijaamade kui masstoote ja müügiobjekti vaikimisi turvatase (ehk siis see häälestus, mis tehasest kaasa tuleb) võib olla ohtlik. Tootja ja levitaja optimum on mujal - müüa ja hallata võimalikult suurt hulka võimalikult lihtsana näivaid seadmeid, siis tuleb suurim teenistus. Tekkida võivate turvamuredega on ostja aga üksi. Tänane tüüpiline massprodukt (Alice, Huawei, SpeedTouch, Thomson, Verizon) sisaldab lollkasutaja mugavaks abistamiseks mõeldud tagaust (loe: keskse administreerimise funktsionaalsust) ning lisaks sellele, tüüpiline koduseade ei võimaldagi keerulisema (tsoneeritud) võrgu ülesehitamist.
 • Ühiskonna kõigi kihtide haaratus – kui esmalt asusid WiFi't pruukima üksikud elustiilientusiastid ja tehnofriigid, siis nüüdseks on WiFi tehnoloogiaga haaratud ühiskonna kõik kihid, sh vastutavad töötajad, tippspetsialistid, firmajuhid jt, kelle puhul ka üksainus bitt pihkunud informatsiooni võib "õigetes" kätes saavutada kõrge turuväärtuse.
 • Keerukuse kasv – WiFi-seadmete (nagu ka muu tehnoloogia) keerukus üha suureneb. Seadme menüüs võib olla 100 ringis väga peeneid seadistusi, millest igaühe näppimisel on oma tagajärg, kuid lihtkasutaja ei pruugi seda hoomata. Laiemalt kirjeldades, ühiskond polariseerub viisil, mida Asimov oma "Asumis ja Impeeriumis" ammu ette nägi – tehnoloogiat kasutatakse selle sisust aru saamata ning vaid väga vähene hulk tehnikuid suudab sügavuti mõista, kuidas täpselt tehnoloogia töötab.
 • Absoluutse enamiku eestimaalaste inglise keele oskus ei ole piisav, et aru saada keeruka seadme menüüpunktide ja kaasnevate õpetuste sügavast sisust, lisaks risk, et neid punkte kirjutanud hiinlasel esineb sama mure. Paradoksina on ka juhendite eestikeelsed tõlked nii madala kvaliteediga (ja sisaldavad nii olulisel määral vigu), et vahel tuleb seadme täpsemaks häälestamiseks pruukida Rosetta kivi – paralleelselt kasutada mitmes eri keeles menüüsid ja juhendeid.
 • Koduvõrk – kui veel aastat 10 aastat tagasi pikendas arvutivõrk vaid väheste elitaristide kodusid, siis täna on kodune arvutivõrk kohustuslik sotsiaalne atribuut (nagu nõuka-ajal oli seda ENE kõigi köidete olemasolu raamaturiiulis). Kahjuks peab ütlema, et suurtes erafirmades pisaratega kogutud kogemus võrgu turvalise ülesehituse ning turvataseme pideva säilitamise osas pole veel SoHo sektorisse jõudnud.
 • Antisünergeetiline vastasmõju paradoks – kahe hea asja kokkupanemine ei pruugi automaatselt anda parimat tulemust. Koduvõrk pluss WiFi tähendab enamasti turvakadu. Lõvi ja jänes mõõtmetelt küll mahuvad ühte puuri, ent kuna neil esineb "omavaheline lähimõju", poleks ehk siiski kuigi tark neid sinna koos paigutada. Lamba ja lehma ristamisel ühes tuntud anekdoodis tekkis hübriid, mis annab piima nagu lammas ja villa nagu lehm.
 • Kaugeleulatuvad turundusvõtted – nii näiteks Samsungi nutiteleka ning nutifööni koos ostmine tekitab teatava arhitektuurilise surve koduvõrgu turvalisusele - et kõiki tootja poolt pakutud nutifeatuure maksimaalselt kasutada, tuleks koduvõrk siis kindlasti üles panna lihtsal ja pisut ebaturvalisel moel.
 • Sotsiaalne elustiilisurve – lahenduste kasutatavuse ja turvalisuse üle kiputakse otsustama naabri Mari käitumise, mitte aga põhjaliku skeptilise analüüsi alusel. Tavainimene pigem ei mõistagi, kuidas kahest välimuselt "samasugusest" tugijaamast üks võib osutuda turvaliseks ja teine mitte, samuti ei pruugi lihtinimene mõista tagajärgi, mis kaasnevad "UPnP" lubamisega oma võrgus.
 • Seadme otstarbe mittevastavus – sotsiaalselt survestatud multimeediasisu (muusika, filmid, pidev ühendus sotsiaalvõrgustikega) tekitab ebamõistliku koormuse odavale tugijaamale, mis loodi lahjat veebisurfamist silmas pidades.
 • Küberkuritegevuse kasv – ründaja huvi on üldjuhul mitte võrgu põhjalaskmine võimsa ilutulestiku saatel, vaid otse vastupidi – vaikne ja jätkusuutlik väärkasutus, mille käigus õnnestuks koguda müügikõlbulik kogus privaatse iseloomuga infot või, rünnates installatsiooni nõrkusi, üle võtta ja kuritarvitada sideühendust, identiteeti, peremeeskliendi maksulisi lisateenuseid vms.
 • Eesti tarbija hinnatundlikkus – üldharidus ei paku selgitust, kuidas elektroonikaseadmete tooteperekondades hindu ning featuure omavahel tasakaalustatakse. Kui nutifööni ostmisel juhindub eestlane sotsiaalsest survest ning ostab kallima (enamasti ka parema) seadme, siis WiFi tugijaamade osas sotsiaalne surve parematele tootemudelitele peaaegu puudub. Paradoksina sisaldub mõnes WiFipurgi tarkvaras suvand, millega tugijaama perioodiliselt restartida – sest seadme või tarkvara stabiilsus on kehv ja üle ööpäeva multimeediat tirida see seade lihtsalt ei täi.
 • Kõige viimane ja kõige keerukam risk – erinevate tehniliste ja sotsiaalsete riskide üheskoos arvesse võtmine vajab olulist analüüsioskust ning lisaks veel ka ulatuslikke teadmisi mitmes valdkonnas – see on absoluutse enamiku lihtinimeste jaoks kättesaamatu kunst. Kui aga miski aines osutub kaineks analüüsiks liiga keerukaks, siis tüüpiliselt lastakse vanamoodi ülejala edasi.

Kindlasti on alles ja akuutseks jäänud ka WiFi seadmete mõned tehnilised probleemid, kuid (funktsioonina seadmeid haldava tehniku ettevalmistusest) on nende mõistmine ja lahendamine väljaõppinud tehnikule kukepea.

Toimeruum

Aastal 2012 on kõige silmapaistvamad trendid WiFi side korraldamisel järgmised:

 • Biti jäävuse seadus – kord väljakiiratud bitt, kuitahes hästi krüptitud, on alati eetrist salvestatav ning hiljem lahtimurtav. WEP, WEP2 ning WPA on kõik osutunud lahtimurtavateks, tõenäoliselt juhtub millalgi sama ka WPA2-ga.
 • Antisünergia seadus – kui sa seod kaks asja omavahel, pead arvestama nende omavahelise mõjuga. Odava koduvõrgu sidumine odava WiFiruuteriga ei pruugi anda soovitud resultaati; ehk siis saabub soovitule lisaks veel ka hulk soovimatuid tulemusi.
 • Rahakotiraudade seadus – enamasti saad sa seda, mille eest sa maksad, kusjuures featuurid paranevad lineaarselt, hind aga tõuseb eksponendina. Õige tasuvuspunkti valik on seega muutunud kriitiliseks. Igatahes on tegu äriga, mitte tehnilise optimumiga.
 • Isikute lahususe seadus – kahel eraldi isikul (müüja-tarbija, naaber-naaber) puudub automaatne vajadus viisakaks ning üksteist arvestavaks käitumiseks. Aastal 2012 ei ole veel teada, kas eetika mõju Globaalkülas on üldse saavutatav. Olukorda saab pisut (kuid mitte oluliselt) parandada näiteks maksmisega, usaldamisega (st probleemi lahendamisest loobumisega lootuses, et tõenäosus ei realiseeru), kasutaja identifitseerimisega või mõne muu kavala sotsiaal-tehnilise nipi sissetoomisega, kuid pärast seda tuleb arvestada ka antisünergia seadusega. Alati süvene sellesse, missugused huvigrupid Sinu WiFipurgi ümber tiirlevad ning mis on nende motivatsioon ning finantsvõime.
 • Esimese võtja seadus – tänapäevases ühiskonnas pole kahjuks enam nii tähtis see, mida sa tegelikult oled, vaid pigem see, millena sa lased ennast paista. Klassikaline kiusatuskolmnurk moodustub endiselt kvaliteedi, raha ja lahendusele kuluva aja vahel. Maailm on muutunud oluliselt kiiremaks. Kui Sinu otsus on rünnata ajateljel ning saada oma feim ja egopunktid kätte odavate, ebakindlate ning ebaturvaliste lahendustega, siis oled Sa muidugi võidumees. Ühtlasi arvesta, et kõik (ega ka mitte enamik) korraga ei saa võita.

Järgnev WiFi altminekunimekiri aastast 2002 on esitatud ajaloolise järjepidevuse huvides.

WiFi altminekunimekiri aastast 2002

NB! See nimekiri on vananenud, selle järgimisest täna ei piisa! Turvaprotokolle WEP ja WEP+ ei peaks tänapäeval üldse kasutama. WPA puhul murti kaks aastat tagasi mõned spetsiifilised kasutusjuhud ning parim valik täna on WPA2. (M.R. ja K.K – tänud selgituste eest!)

 1. Oma IT-eeskirju! Ei mingeid isetegevuslikke WLAN jaamu!
 2. Vali tootjat (WEP ja WEP+ vahel on oluline vahe).
 3. Keera WEP peale.
 4. Muuda WEP võtmeid perioodiliselt.
 5. Parem aga installi Radius, VPN vms täiendav kaitse.
 6. Monitoori oma Wifi võrku pidevalt (muidu teevad seda teised). Tekita meepotte.
 7. Ära anna SSID ja INFO väljades infot oma orgkuuluvuse kohta.
 8. Keera BEACON maha!
 9. DHCP on saatanast!
 10. Keera oma sisevõrgu broadcast'ide transleerimine maha.
 11. Ära kasuta Ad-Hoc mode'i.
 12. Vali antenne, nende suunda. Vajadusel keera võimsust maha + aknakiled.
 13. Keera AP's peale MAC aadresside filtreerimine (aitab vaid pisut).
 14. Ühenda WLAN sisevõrguga DMZ, proxy, tulemüüri kaudu.
 15. Ole paranoiline!
Viimati muudetud: 31.08.2018

Kas said oma küsimusele vastuse?


Täname tagasiside eest!