«Защита беспроводных сетей» (стр. 2 из 3)

• имя и фамилия;

• улица, дом, квартира;

• номер паспорта;

• номер телефона.

В принципе, если рядом есть несколько точек доступа, то имеет смысл изменить и канал, чтобы избежать взаимных помех. Однако эта мера не особо повлияет на защищённость, поскольку клиенты чаще всего просматривают все доступные каналы.

Обновите прошивку и, если нужно, оборудование.

Использование на точке доступа последней версии программного обеспечения также повышает безопасность. В новой прошивке обычно исправлены обнаруженные ошибки, а иногда и добавлены новые возможности защиты. У некоторых новых моделей точек доступа для обновления достаточно пару раз щёлкнуть кнопкой мыши. Точки доступа, выпущенные несколько лет назад, часто уже не поддерживаются производителями, то есть новых прошивок ожидать не стоит. Если же прошивка вашей точки доступа не поддерживает даже WPA (Wi-Fi Protected Access), не говоря о WPA2, то следует всерьёз задуматься о её замене. То же самое касается адаптеров! В принципе, всё продаваемое сегодня оборудование 802.11g поддерживает, как минимум, WPA и технически способно быть модернизировано до уровня WPА2. Однако производители не всегда торопятся с обновлением старых продуктов.

Отключите широковещание SSID.

Большинство точек доступа позволяют отключить широковещание SSID, что может обвести вокруг пальца некоторые утилиты вроде NetstumbIer. Кроме того, скрытие SSID блокирует обнаружение вашей сети средствами встроенной утилиты настройки беспроводной сети Windows ХР (Wireless Zero Configuration) и других клиентских приложений. На Рис. 1 показан пункт отключения широковещания SSID "Hide ESSID" на точке доступа ParkerVision. ("SSID" и "ESSID" в данном случае означают одно и то же).

Рис. 1. Отключение широковещания SSID на точке доступа Раrkеrvisiоn.

Примечание. Отключение широковещания SSID не обезопасит вас от взломщиков, использующих такие средства, как Kismet или АirМаgпеt. Они определяют наличие беспроводной сети независимо от SSID.

Выключайте сеть, когда не работаете!

Часто пользователи пропускают мимо внимания самый простой способ защиты - выключение точки доступа. Раз нет беспроводной сети, то нет и проблем. Простейший таймер может отключать точку доступа, например, на ночь, пока вы ей не пользуетесь. Если для беспроводной сети и для доступа в Интернет вы используете один и тот же беспроводной маршрутизатор, то при этом соединение с Интернетом тоже не будет работать - вполне неплохо.

Если же вы не хотите отключать соединение с Интернетом, тогда можно отключать радиомодуль маршрутизатора вручную, если он это позволяет. На Рис. 2 показан пункт отключения радиомодуля. Такой способ недостаточно надёжен, поскольку он зависит от "человеческого фактора" - можно просто забыть об отключении. Возможно, производители когда-нибудь добавят функцию отключения радиомодуля по расписанию.

Рис. 2. Отключение радиомодуля.

Фильтрация по MAC-адресам

Фильтрация по MAC-адресам используется для того, чтобы доступ к сети могли получить (или, наоборот, не получить) только те компьютеры, чьи адреса указаны в списке. Фильтрация защитит вашу сеть от новичков, но более опытные хакеры могут легко перехватить MAC-адреса и подменить свой адрес на один из разрешённых.

Рис. 3. Фильтрация MAC-адресов на точке доступа USR 8011.

Снижение мощности передачи

Лишь некоторые потребительские точки доступа имеют эту функцию, однако снижение мощности передачи позволит ограничить количество как преднамеренных, так и случайных неавторизованных подключений. Впрочем, чувствительность доступных массовому пользователю беспроводных адаптеров постоянно растёт, так что вряд ли стоит озадачиваться этим способом, особенно если вы это делаете исключительно из-за безопасности в многоквартирном доме. Опытные хакеры обычно используют мощные направленные антенны, что позволяет им обнаруживать даже очень слабый сигнал и сводит существенность этого пункта к нулю.

3.2 Умения первого уровня: пользователь с общедоступным набором утилит для взлома WLAN

Перейдём к более опытным пользователям, которые специально бродят по окрестностям в поисках беспроводных сетей. Некоторые занимаются этим просто из интереса, пытаясь обнаружить, сколько сетей находится рядом. Они никогда не пытаются использовать уязвимые сети. Но есть и менее доброжелательные хакеры, которые подключаются и используют сети, а иногда даже доставляют владельцам неудобства. Все принятые меры нулевого уровня не спасут от взломщиков первого уровня, и незваный гость может проникнуть в сеть. От него можно защититься, используя шифрование и аутентификацию. С аутентификацией будем разбираться немного позже, пока же остановимся на шифровании. Одно из возможных решений - пропускать весь беспроводной трафик через туннель VPN (Virtual Private Network) - виртуальная частная сеть.

Шифрование

Владельцам беспроводных сетей следует использовать самый надёжный из доступных методов шифрования. Конечно, здесь всё зависит от оборудования, но, так или иначе, обычно можно выбрать WБР, WPA или WPА2. WEP (Wired Equivalent Privacy) - безопасность, эквивалентная проводной сети является наиболее слабым протоколом, но на текущее время он наиболее широко распространён и поддерживается практически всем оборудованием 802.11. Возможно, придётся остановиться на использовании этой технологии и потому, что не все производители беспроводного оборудования выпустили обновления прошивки с поддержкой WPA для оборудования 802.11 Ь. Некоторые до сих пор выпускают оборудование, которое поддерживает только WEP, например - беспроводные VoIP-­телефоны. Таким образом, приходится искусственно снижать безопасность сети из-за того, что не всё оборудование поддерживает более новые технологии.

Как WPA (Wi-Fi Protected Access), так и WPA2 обеспечивают хорошую защиту беспроводной сети, что достигается благодаря более стойкому алгоритму шифрования и улучшенному алгоритму управления ключами. Основное отличие между ними состоит в том, что WPА2 поддерживает более стойкое шифрование AES (Advanced Encryption Standard). Однако, ряд продуктов, поддерживающих WPA , тоже позволяют использовать алгоритм шифрования AES вместо стандартного TKIP.

Большинство продуктов 802.11 g поддерживают WPA, но есть и исключения. Что касается обновления старых продуктов до WPА2, то многие прошивки до сих пор находятся в состоянии разработки, несмотря на то, что стандарт 802.11i, на котором основан WPА2, был утверждён ещё в июне 2004.

Мы рекомендуем, по меньшей мере, использовать WPA. Его эффективность сопоставима с WPА2, и, как мы уже писали, стандарт поддерживается большим количеством оборудования. Конечно, внедрение WPA может потребовать покупки нового оборудования, особенно, если вы используете 802.11b. Однако оборудование 11g стоит сегодня относительно недорого и сможет оправдать себя.

Большинство потребительских точек доступа WPA и WPА2 поддерживают только режим с общим паролем WPA-PSK (Pre-Shared Кеу) (Рис. 4). WPA2 или WPA "Enterprise" (он же WPA "RADIUS") также поддерживается в некотором оборудовании, однако его использование требует наличия сервера RADIUS

Рис. 4. Шифрование трафика на точке доступа Netgear.

Для большинства частных беспроводных сетей использование WPA-PSK обеспечит вполне достаточную защиту, но только при выборе относительно длинного и сложного пароля. Не следует использовать только цифры или слова из словаря, поскольку такие программы, как cowpatty, позволяют проводить словарные атаки против WPA-РSK.

Роберт Москович (Robert Moskowitz), старший технический директор ICSA Labs, в своей статье рекомендовал использовать 128-битное шифрование PSK. К счастью, все реализации WPA позволяют использовать цифробуквенные пароли, то есть для выполнения рекомендация Московича достаточно 16 символов.

В Интернете можно найти множество генераторов паролей, стоит лишь воспользоваться поисковой системой. И, наконец, некоторые производители

оборудования стали продавать точки доступа и беспроводные адаптеры с автоматической настройкой защиты беспроводных соединений. Buffalo Technology. выпустила серию продуктов с технологией AOSS (AirStation One­Touch Secure Station). Linksys недавно начала производство и продажу оборудования с поддержкой подобной технологии SecureEasySetup от Broadcom.

3.3 Умения BToporo уровня: пользователь с расширенным набором утилит для взлома WEP/WPA-PSK

WPA и WPА2 закрывают большинство проблем, которые есть у WEP, но они всё же остаются уязвимыми, особенно в варианте PSK. Взлом WPA и WPА2 с паролем более сложен и требует больших затрат, особенно при использовании шифрования AES, но всё же возможен.

Аутентификация

Для защиты от этой угрозы следует внедрять аутентификацию. Аутентификация добавляет ещё один уровень безопасности, требуя, чтобы компьютер клиента зарегистрировался в сети. Традиционно это выполняется при помощи сертификатов, маркеров или паролей (также известных как Pre­Shared-Key), которые проверяются на сервере аутентификации.