Как обеспечить защиту беспроводной сети

В данной статье рассматриваются инструменты для шифрования, идентификации, управления и многое другое…

Учитывая справедливую критику к статье «Руководство по безопасности беспроводных сетей», было принято решение написать на эту тему поподробнее. Вот что из этого получилось.

Наведите мышь на Wi-Fi-значок в нижнем правом углу экрана. Отобразится имя вашей беспроводной сети. 80 процентов пользователей Wi-Fi-сетей при подключении называют свою сеть «Default (Unsecured)» или «Home (Unsecured)».

Незащищенные беспроводные сети является открытым приглашением для хакеров проникнуть в ваш компьютер и украсть вашу личную информацию, загрузить вредоносные программы на ваш компьютер, или просто над вами пошутить.

К счастью, обеспечить защиту вашей Wi-Fi сети достаточно просто. В этой статье рассматриваются 10 простых шагов, которые позволят сделать вашу беспроводную сеть безопасной.

1. Изменение пароля администратора и пользователей

В процессе первой настройки Wi-Fi маршрутизатора необходимо зайти на страницу настроек встроенного веб-сервера и ввести сетевой адрес и идентификационую информацию. Обычно страница с настройками защищена необходимостью ввода имени пользователя и пароля.

Проблема: Несмотря на то, что имя пользователя и пароль знаете только вы, существует следующая проблема. Логины и пароли по умолчанию, как правило, одинаковы во всем модельном ряде маршрутизаторов определенного производителя, а также большинство пользователей никогда не меняют их. Соответственно, они становятся легкой мишенью для хакеров. Существуют сайты, которые публикуют имена пользователей и пароли по умолчанию для беспроводных маршрутизаторов, что значительно облегчает задачу хакера.

Решение: смените имя пользователя и пароль для вашего Wi-Fi маршрутизатора сразу после первого входа. И если вы изменяете пароль, убедитесь, что его очень трудно угадать. Ваше имя, дату рождения, годовщину свадьбы, имя ребенка, имя супруга или домашнего животного будут первыми при подборе пароля. Еще многие хакеры используют технику подбора по словарю (bruteforce), запустив программу, которая пытается подобрать пароль из обычных слов. Необходимо убедиться, что ваш пароль не только не содержит общие слова, а, скорее, представляет собой комбинацию букв разного регистра и цифр, а также спецсимволов, если это позволяет маршрутизатор.

2. Выбор надежного алгоритма криптования

Если информация, передаваемая по вашей Wifi сети не зашифрована надлежащим образом, то злоумышленник может легко подключиться к сети и контролировать вашу деятельность. При вводе личной или финансовой информации он может украсть ее и использовать в дальнейшем.

Старый стандарт шифрования Wired Equivalent Privacy (WEP), может быть взломан в течении 30 секунд вне зависимости от сложности фразы, используемой для ее защиты. К сожалению, миллионы Wi-fi пользователей до сих пор пользуются этой технологией шифрования, несмотря на наличие намного лучшего стандарта шифрования WPA2.

Проблема: Несмотря на наличие алгоритма шифрования WPA2, большинство домашних Wi-fi пользователей не используют этот алгоритм, поскольку они либо недооценивают проблему или же просто считают, что это слишком сложно. Как результат, многие продолжают использовать шифрование WEP, которое сейчас так легко взломать, оно рассматривается так же, как будто никакого шифрования нет вообще.

Решение: Естественно, необходимо изменить алгоритм шифрования на WPA2. Но прежде, чем вы можете использовать WPA2 защиту, вам придется выполнить несколько шагов, чтобы обновить ПО компьютера. Первый шаг состоит в том, чтобы загрузить и установить исправления для операционной системы. Вероятно, потребуется обновить драйвер беспроводной карты. В случае использования Microsoft Windows XP эти обновления, если они еще не установлены, будут перечислены на странице Microsoft Windows Update под подзаголовком «Hardware Optional».

Теперь, когда ваш компьютер и беспроводные карты находятся в актуальном состоянии, вам нужно войти в админку вашего маршрутизатора. После того, как вы вошли в систему, необходимо изменить настройки безопасности на «WPA2 Personal» и выбрать алгоритм «TKIP + AES». Затем, введите свой пароль в поле «Shared Key» и сохраните изменения.

3. Изменение ID сети.

Когда вы устанавливаете маршрутизатор, ID сети — SSID (Service Set Identifier) или ESSID (Extended Service Set Identifier) установлен в значение по умолчанию. Этот идентификатор обычно также используется как имя вашей Wi-fi сети.

Проблема: Как правило, производители присваивают одинаковые SSID для целого модельного ряда устройств, а 80 процентов домашних пользователей Wi-fi сетей оставляют эти значения по умолчанию. Это означает, что 80 процентов домовых Wi-fi систем работают под именем «Default»,»D-link» или подобно этому.

Проблема с настройками по умолчанию состоит в том, что они служат сигналом для хакеров. Хотя знание SSID не позволяет никому проникнуть в сети, оно, как правило, свидетельствует о том, что владелец сети не принял никаких мер, чтобы защитить ее. Такие сети являются наиболее уязвимыми.

Решение: изменить SSID сразу при настройке локальной сети. Это не может полностью обеспечить защиту вашей сети, но изменение SSID на что-то нестандартное отделит вашу сеть от других незащищенных сетей, что может послужить одним из факторов при выборе (скорее, отказа от выбора) вашей сети для атаки. Кроме того, использование персонального уникального имени позволит избежать ошибок подключения с соседними сетями с таким же стандартным именем.

4. Фильтрация MAC-адресов

Если вы установили незащищенную Wi-fi сеть, то с большой долей вероятности можно быть уверенным, что, по крайней мере, один из ваших соседей будет использовать вашу сеть для подключения к сети Интернет.
Для проверки использования вашей сети можно использовать MAC-адрес. Каждому сетевому устройству, и Wi-Fi в том числе, присваивается уникальный код, который идентифицирует его, это «физический адрес» или «MAC-адрес». Ваш Wi-Fi роутер автоматически фиксирует MAC-адреса всех устройств, которые подключаются к нему. Знание собственного MAC-адреса поможет вам защитить свою беспроводную сеть.

Проблема: Если Вы не уверены в том, что кто-то получил доступ к вашей Wi-Fi сети, или вы узнали, что кто-то проник в сеть, вы тут же хотите прекратить это. Но каким образом?

Решение: Проверка MAC-адресов устройств, подключенных к вашей Wi-Fi сети, даст вам представление о том, кто подключен к сети. Если вы уверены, что устройство с определенным MAC-адресом находится в сети без разрешения, то внесите этот адрес в черный список. Кроме того, данный метод можно использовать как мощное средство по ограничению доступа в сеть, разрешив доступ к сети только с определенных MAC-адресов. Естественно, это не гарантирует вам 100% защиту сети, поскольку существует современное ПО, позволяющее изменять MAC-адрес сетевого устройства.

5. Отключение широковещательного оповещения(broadcasting)

Вы переименовали вашу Wi-Fi сеть, чтобы хакеры не использовали имя по умолчанию для начала атаки на сеть. Но не будет ли лучше, если никто не будет знать, что у вас появилась Wi-Fi сеть? Как правило, ваша точка доступа или маршрутизатор запрограммированы на трансляцию в эфир имени (SSID) через регулярные промежутки времени. Хотя широковещательное оповещение имеет важное значение для мобильных «горячих точек», оно не нужно в домашних условиях или условиях малого офиса.

Проблема: Зачем оповещать всех, что у вас есть беспроводная связь? Вы уже знаете об этом, зачем нужно знать другим? Широковещательное оповещение в эфире работает как приглашение для хакеров или соседей (надеющихся на бесплатный Интернет) ищущих возможность проникнуть в сеть.

Решение: Большинство Wi-Fi точек доступа разрешают отключить трансляцию SSID. Зайдите в настройки вашего маршрутизатора.

6. Отключите автоматическое подключение к Wi-fi сетям

Большинство компьютеров могут автоматически подключаться к любой открытой Wi-Fi сети без уведомления. Если этот параметр не включен по умолчанию, многие люди выбирают его, поскольку он позволяет быстрее подключиться к сети. Еще более распространенный вариант – пользователи выбирают опцию «автоматически подключаться»для сетей, к которым они регулярно подключаются. Опять же, это имеет смысл, так как большинство людей не хотят вручную вводить название своей беспроводной сети и пароль каждый раз, когда они хотят в нее войти. К сожалению, такие варианты могут привести к значительным проблемам в области безопасности.

Проблема: Если вы будете подключаться к любым доступным Wi-Fi сетям автоматически, вы неизбежно будете также подключаться к WI-FI сетям, предназначенным специально для того, чтобы перехватить данные пользователей и взломать их компьютеры.

Аналогичным образом, если вы автоматически подключаетесь к вашим Wi-Fi сетям (т.е. вы вручную не вводите имя сети и пароль каждый раз), то это также угрожает вашей безопасности. Поскольку 80 процентов пользователей Wi-Fi не изменяют название своего беспроводного соединения, то не составит никакого труда сделать поддельную сеть с названием по умолчанию. Таким образом, хакеру не нужно будет ничего предпринимать, кроме как ждать, пока к сети не подсоединится пользователь и добровольно не предоставит свои данные.

Решение: Не выбира йте вариант «подключиться к имеющейся Wi-Fi сети автоматически» в настройках вашего сетевого подключения. Если вы не хотите вручную вводить имя и пароль для Wi-Fi соединения каждый раз, когда вы входите в сеть(самый безопасный вариант), по крайней мере, убедитесь, что вы назвали ваше Wi-Fi соединение уникально, и что вы удалили все стандартные названия из списка предпочтительных сетей. Таким образом, вы не получите автоматическое подключение к фальшивым Wi-Fi сетям, настроенными хакерами и использующими имена «по умолчанию».

7. Используйте встроенный брандмауэр

Для правильной организации системы IT безопасности необходимо использование многоуровневого подхода. Одного слоя вашей системы безопасности недостаточно, чтобы выдерживать каждую атаку. Добавляя слои в вашу систему безопасности, вы ограничиваете доступ в вашу сеть вредоносному коду. Два важных слоя системы безопасности – это брандмауэр маршрутизатора и брандмауэр вашего ПК.

Проблема: маршрутизаторы имеют встроенный брандмауэр. Однако, поскольку имеется возможность отключить их, они могут быть случайно или неслучайно выключены.

Решение: Убедитесь, что брандмауэр вашего маршрутизатора включен и успешно блокирует анонимные интернет-запросы или команды. Этот дополнительный шаг поможет скрыть присутствие вашей сети в сети Интернет, и, таким образом, поможет защитить вашу сеть. В конце концов, хакерам труднее взломать то, что не видно.

8. Местоположение маршрутизатора или точки доступа

Wi-fi сигналы не знают, где заканчивается ваш дом, и когда начинается дом соседа. Утечка сигнала Wi-Fi точки доступа дает хакерам и соседям возможность найти вашу беспроводную сеть.

Проблема: Если на открытом пространстве дальность распространения сигнала не является большой проблемой, то внутри помещения нужно озаботиться проблемой правильного покрытия. Необходимо свести к минимуму выход сигнала за пределы нужного помещения. Это важно, потому что чем дальше ваш сигнал доступен в округе, тем проще его обнаружить и использовать.

Решение: Если вы еще не установили маршрутизатор беспроводной сети(точку доступа), то выберите местоположение маршрутизатора или точка доступа в центре дома или офиса, а не возле окна или двери. Если вы живете в квартире, подумайте о том, что проникновение Wi-Fi сети зависит от свойств материалов, сквозь которые она должна пройти. Чем больше стен, дверей, а также металлических перекрытий, тем сигнал хуже проходит, то есть он становится слабее. Если ваша цель состоит в том, чтобы минимизировать утечку, можно рассмотреть вариант экранирования помещения.

9. Когда необходимо отключить сеть

Большинство из нас знают, что непрактично постоянно включать и отключать устройства. Наличие постоянного Wi-Fi соединения достаточно удобно, чем постоянное его включение и выключение. К сожалению, Wi-Fi соединение уязвимо, когда оно включено, поэтому выключив беспроводной сигнал, когда он не используется, вы тем самым предпримете еще один шаг к обеспечению безопасности вашей беспроводной сети.

Проблема: Существует проблема выбора между удобством и безопасностью при решении вопроса, выключать ли беспроводную точку доступа в отсутствии соединений.

Решение: Как вы предпринимаете дополнительные меры безопасности дома, например, уезжая на отдых, просите ваших соседей забирать почту и включать свет, так же вы должны принимать дополнительные меры безопасности, когда ваша Wi-Fi сеть не будет использоваться. Выключение сети является одним из эффективных мер безопасности, которые могут защитить вашу сеть. Нет сети – нет проблемы 

10.Тестирование сети

Теперь, когда вы внесли все перечисленные изменения в настройки вашей Wi-Fi сети, желательно было бы убедится, что ваша сеть в безопасности. К сожалению, единственный верный способ заключается в том, чтобы подождать и посмотреть, будут ли попытки взлома. Существуют программы, которые помогут вам провести аудит безопасности вашей сети.

Проблема: К сожалению, не существует способа проверить безопасность вашей беспроводной сети, который даст вам 100% ответ о надежности предпринятых мер безопасности.

Решение: Существуют утилиты, например, Netstumbler, которые умеют определять уязвимости сети и обнаруживать неразрешенные совмещенные точки доступа. В дополнение к этому программа может выявить источники сетевых помех и слабого сигнала. Netstumbler является бесплатной программой. Естественно, существуют и другие программы-сканеры сетей с подобным функционалом.

Вместо вывода
Эта статья должна служить базовым примером того, как нужно защитить беспроводную сеть от широкого спектра угроз, которые стоят перед ней, но важно помнить, что ни одна статья может охватить абсолютно все меры безопасности, которые могут быть использованы для усиления безопасности ваших Wi-Fi сетей. Таким образом, здесь не рассмотрен целый перечень других действенных мер безопасности, таких как: ограничение совместного использования файлов, изменение IP-адреса беспроводного маршрутизатора, использования статического IP-адреса для каждого из ваших компьютеров, отключение DHCP сервера, DMZ и удаленного управления функциями, а также целый ряд мер, таких как установка на компьютере брандмауэра, антивирусное программное обеспечение, установка обновлений и так далее.

Несмотря на это, при использовании описанных 10 шагов, обычный пользователь может быть уверен, что ваша Wi-Fi сеть будет работать без ущерба для ваших ПК.

По мотивам

28 апреля 2009 16:13 | Советы и Статьи

9 комментариев к “Как обеспечить защиту беспроводной сети”

  1. flex говорит:

    Казалось бы — элементарные вещи.. А связать самому всю совокупность как-то не получалось. Спасибо за пост.

  2. Алексей говорит:

    Спасибо за статью. Очень доступно и просто.
    Ps
    Статься кстати пришлась — на днях хочу маршрутизатор покупать для домашней сети.

  3. Alexandr говорит:

    Спасибо за статью. WiFi устанавливать не собираюсь, но читать было приятно.

  4. ZEXEL говорит:

    WEP-2 Самый надежный сейчас- примерно 10 знаков нужно что бы брутом не смогли взломать.

    WEP- не надежный — потому и легко взломать

  5. dc говорит:

    Ничего не перепутали? Может вы хотели сказать WPA2?

  6. Странник говорит:

    Тема «Подбор ключа к WPA/WPA2 с BackTrack 3/4» http://itsec.org.ua/ext/aHR0cDovL2ZvcnVtLmFudGljaGF0LnJ1L3RocmVhZDExMzQxNS5odG1s/ .

  7. dc говорит:

    Все это хорошо, если пароль есть в словаре. Не даром же рекомендуют использовать в пароле не только буквы и чередовать большие буквы с маленькими. Используя полный перебор при минимальной длине пароля в 8 символов имеем 6 095 689 385 410 816 вариантов паролей (для тех кто не понимает откуда взялась цифра — 94 в степени длины пароля). Редко где используют минимальный пароль. Это раз. А два — имеющиеся программы могут и не переварить файл базы хешей пароля больше 2 гб 🙂 Придется разбивать. Теперь посчитаем, за сколько времени вы подберете мой пароль на сеть в 27 символов, если учесть что подбор происходит с прибл. скоростью в 1 млн хешей за 1 минуту?

  8. xbow говорит:

    Стремная статья. особенно понравилось про «экранирование сигнала». При большом желании осуществляется подбор пароля с помощью видеокарты, а не процессора и за день 10-значный пароль брутиться. Получить доступ к роутеру еще проще, это камень в огород про обновление ключей TKIP.
    Ну короче статья для параноиков, «волков бояться в лес не ходить». Совет годный я увидел один — менять название сети, на довольно большой процент обезопасив ает вас от школьников энтузиастов, ну или студентов

  9. Блог про IT безопасность » 8 тезисов об IT безопасности на 2011 год говорит:

    […] у вас есть беспроводная сеть для дома или офиса, убедитесь, что вы используете […]

Оставить коментарий