Одминский блог

Создание безопасной WI-FI сети

Каждый из нас когда либо пробовал подключиться к чужой Wi-Fi сети, если обнаруживал её в своем списке доступных сетей. Иногда это получалось, когда сеть не была защищена никаким паролем, иногда пароль являл собой верх совершенства в виде набора qwerty или 11111. Даже если мы не могли угадать пароль, и плевали на это дело, пробуя другую сеть, то эта сеть все равно была доступна для взлома более менее поднаторевшим в этом деле специалисте. В интернете достаточно how-to по взломам радиосетей с помощью двух ноутбуков, т.ч. пароль вовсе не панацея, а подобно жизненному примеру- всего лишь скоба, прикрывающая незапертую дверь. Ниже я попробую описать, какими мерами можно воспользоваться, чтобы максимально защитить себя, и в то же время максимально усложнить жизнь злоумышленника, посягнувшего на вашу сеть.

1. Зона покрытия: уменьшить зону покрытия то необходимого максимума, с тем, что ваша сеть не была доступна из вне здания.
2. Широковещательный SSID: Service Set IDentifier (SSID) специализированный технологический код, который прикрепляется к пакету, для идентификации пакета, как составляющей части сети. Когда на роутере задан широковещательный SSID, все приемные устройства в радиусе
приема, получают информацию о доступности данной сети. Для этого данный код необходимо отключать, с тем чтобы настраивать подключением к сети,
путем ввода SSID’а в определенную графу в настройках соединения. Рекомендуется изменять SSID от заданного по умолчанию, а также избегать
названий которые можно связать в вашей личностью-компанией (названия фирм, адреса, фамилии)
3. WPA/WEP шифрование: шифрование соединения препятствует свободному доступу к передаваемой информации, т.е. если атакующий сможет перехватить сеанс связи, то
для доступа к информации ему потребуется расшифровать имеющиееся пакеты, и зашифровать их с помощью того же ключа для дальнейшей передачи.
Существует два алгоритма шифрования: Wi-Fi Protected Access (WPA) и Wired Equivalent Privacy (WEP), причем одновременно использовать можно только один из них.
Но я бы не рекомендовал использовать WEP, т.к. он является по сути устаревшим и небезопасным стандартом, к тому же он доступен для расшифровки сторонними средствами.
Частая смена ключа шифрования, еще более повысит надежность сети
4. Управление ключами: Даже если применяется шифрование, необходимо часто менять ключ шифрования, т.к. в случае длительного сканирования
шифрованных передач, злоумышленник имеет шансы расшифровать его.
5. MAC адреса: Необходимо завести таблицу используемых MAC-адресов, для предотвращения несанкционированного подключения к вашей радиосети. MAC-адрес это уникальный адрес,
назначаемый производителем, своему сетевому устройству, будь то сетевая карта или управляемый свитч. В wi-fi роутерах есть возможность составлять листы доступа к каналу, с фильтрацией
по MAC-адресам, т.е для доступа в сеть – физический адрес карты должен быть занесен в список разрешенных. Злоумышленник может подделать передаваемый MAC-адрес, но для этого он должен знать
его идентификатор.
6. DHCP-сервер: Можно отключить динамическую раздачу IP адресов, оставив только статическую раздачу адресов, добавив используемые в ARP-таблицы.
7. RAS: Использовать сторонние методики аутентификации, как то сертификаты, Radius сервера. Это весьма трудоемкий процесс, и почти недоступен для домашнего использования, но с помощью него возможно наиболее полно защитить wi-fi сеть от несанкционированного доступа, т.к. помимо использования дополнительной аутентификации, при передаче данных, будут использоваться заранее сконфигурированные сертификаты.
8. VPN-сервер: Еще более усилить защиту канала, можно путем запуска поверх WPA Wi-Fi шифрованного канала VPN, со своими паролями и ключами шифрования, такие данные будут чрезвычайно устойчивыми к попыткам взлома шифрования.

Также существуют специализированные программные продукты, являющиеся по сути IPS для радиосетей. Они способны выявлять попытки подключения, и отключать устройства в случае атак с их стороны, так же пресекать попытки подключение с неавторизованных и не правильно сконфигурированных устройств. Одним из таких продуктов является AirDefense от компании Motorola.

Теги: IT безопасность, wi-fi, wireless, Сети