Налаштовуємо безпеку бездротової мережі Wi-Fi, Комплектуючі, огляди

Введення

У наших статтях "Перший крок до бездротових мереж Wi-Fi" і "Будуємо бездротову мережу на швидкості 108 Мбіт / с" ми розглядали установку бездротових мереж в домашніх умовах, коли необхідно зв'язати між собою два і більше комп'ютерів. У цих статтях для спрощення установки ми робили мережі відкритими, без шифрування даних. Але прийшов час подбати про власну інформаційної безпеки і дати хакерам по руках. Сьогодні ми будемо захищати нашу бездротову мережу від несанкціонованого доступу.

Навіщо налаштовувати безпеку бездротових мереж

Не думайте, що ваш комп'ютер не цікавий хакерам і з нього нічого брати. Насправді, якщо у вас на машині встановлені тільки іграшки, вам нема чого боятися за свої дані. Навіть у випадку повної втрати інформації відновити її буде можна протягом кількох днів. Але навіть у цьому випадку вам напевно не захочеться, щоб ваша колекція MP3 файлів, домашня фото та відео зйомки стали надбанням громадськості. Крім того, часом буває так неприємно втрачати все, що було досягнуто в іграх через казна-звідки взялися вірусів.

Якщо ваш комп'ютер підключений до інтернету, то хакер через відкриту бездротову мережу зможе отримати халявний доступ до глобальної мережі, гальмуючи вашу роботу. Через ваш комп'ютер хакер зможе розсилати СПАМ, проводити атаки на інші захищені системи, чим сильно ускладнить ваше життя.

Отже, прийшов час налаштовувати безпеку бездротової мережі. Для установки бездротових мереж ми використовували обладнання німецького виробника, компанії Level One. Це обладнання відрізняється тим, що в комплекті з ним поставляються зручні утиліти, що дозволяють користувачеві легко налаштувати всі параметри WLAN. Ну що ж, нагадаємо нашу тестову конфігурацію.

Персональний комп'ютер.Щоб уникнути можливих проблем, ми використовували комп'ютер, зібраний на базі barebone платформи Shuttle SB75G2, стабільної платформи, зарекомендувала себе з кращого боку в плані відсутності перешкод.

Конфігурація тестового комп'ютера:

У цьому комп'ютері було встановлено 1024 Мб пам'яті DDR400 виробництва компанії OCZ.

Пам'ять OCZ DDR400 серії PC3200 Titanium має таймінги CL 2-3-2-5 і забезпечує нам максимальну продуктивність (читайте статтю про залежність швидкості комп'ютера від затримок пам'яті).

Ноутбук IRu Novia 3331W Combo. Огляд цього ноутбука ви можете прочитати тут. Цей мобільний комп'ютер, побудований на платформі Centrino, вже має вбудований контроллер Wi-Fi IEEE 802.11g.

Увага! Всі паролі, вказані на скріншотах служать лише рекламою нашого ресурсу. Ми рекомендуємо не використовувати як паролі слова, взяті зі словника, імена та інші назви. Ідеальний пароль – це набір великих і малих літер упереміш з цифрами і спеціальними символами! Наприклад, oR2 (cNo7bJ & _B

Крок 1 – змінюємо пароль точки доступу

Якщо ви використовуєте точку доступу, яка має свій IP адреса і управляється через WEB-інтерфейс, то перше що вам треба зробити – це поміняти пароль, встановлений в ній за замовчуванням. На відміну від електричної карти, яка встановлена ​​у вашому комп'ютері, точка доступу включена завжди і завжди доступна через web-інтерфейс для управління. Якщо не знати пароля доступу до неї, то зламати її налаштування буде неможливо.

У точці доступу Level One WAP-0004 ви можете поміняти не тільки пароль, а й ім'я адміністратора. Для цього досить зайти в розділ "безпека". Дуже рекомендуємо записувати пароль в яку-небудь записну книжку, щоб не забути, бо якщо ви його втратите, то на деяких точках доступу вже не зможете ніколи нічого налаштувати.

Крок 2 – відключаємо трансляцію ID мережі

У нормальному режимі точка доступу віщає свій мережевий ідентифікатор, щоб кожен, хто здійснює пошук бездротових мереж, міг її знайти. Це можна порівняти з продавцем на ринку, який кричить "Пиріжки, пиріжки ", привертаючи загальну увагу. Якщо ми – не провайдер і нам не треба демонструвати свою бездротову мережу всім бажаючим, ми можемо відключити цю трансляцію. Якщо ми змінимо ідентифікатор нашої мережі, грубо кажучи його ім'я і відключимо мовлення цього імені, то підключитися до нашої мережі зможе тільки той, хто заздалегідь знає це ім'я. Ось вам ще один пароль. Знайти і зламати бездротову мережу після цього стане складніше.

У точці доступу Level One WAP-0004 настройка трансляції ідентифікатора бездротової мережі знаходиться в розділі розширених налаштувань (Advanced Settings). Відключивши трансляцію SSID і зробивши ім'я мережі типу "Hardwareportal_016" ми вже будемо впевнені, що хтось даремно нашу мережу не побачить і у юних піонерів не буде бажання випробувати нашу мережу на міцність.

Крок 3 – встановлюємо фільтрацію по MAC адресу

Якщо у вас в офісі комп'ютерний парк не змінюється або якщо ви точно знаєте, яким комп'ютерам друзів можна дати доступ до мережі, а яким – ні, то можна використовувати фільтрацію по MAC адресу. Справа в тому, що MAC адреса – це унікальний ідентифікатор, зашитий виробником у свої мережеві карти на стадії виробництва. Кожна карта має свій MAC адресу і навіть дві "сусідні" мережеві плати від одного виробника і з однієї партії різняться по MAC адресу. Вважається, що в світі не може бути двох пристроїв з однаковими MAC адресами. Ця опція зручна в тому випадку, якщо я хочу зв'язати два комп'ютери вдома або кілька комп'ютерів в офісі по бездротових мережах. Наприклад, у мене є один-два друга з ноутбуками, які можуть прийти до мене додому і побажати вийти в мережу через мою точку доступу. Але якщо друзів багато чи багато клієнтів, які щоразу приходять до вас в офіс з різними ноутбуками, то цей спосіб захисту може бути незручним. Для третього друга я ще зможу змінити настройки точки доступу, але робити це заради кожного прийшов – трудомістке заняття.

Фільтрація по MAC адресу дозволить підключатися до вашої мережі тільки заданим пристроїв з їх унікальними MAC адресами. Або навпаки – дозволить всім крім заданих MAC-адрес використовувати вашу мережу. Зручно поставити блокування на комп'ютер сусіда, який вже намагався підключитися до вашої мережі без вашого попиту.

Дізнатися MAC-адресу мережевої карти досить просто. В операційній системі Windows XP робите так: [ПУСК] -> [Виконати], набираєте CMD і тиснете [OK]. У вікні MS-DOS вводите ipconfig /all і знову [ENTER]. Тепер перед вами виводиться список всіх встановлених в комп'ютері мережевих карт і їх налаштувань. Фізична адреса – це і є те, що нам треба.

Ми отримали MAC-адреса USB-контролера Level One WNC-0301USB, встановленого на нашому комп'ютері. Тепер прописуємо його в налаштування точки доступу.

У точці доступу Level One WAP-0004 фільтрація по MAC-адресі так само знаходиться в розділі розширених налаштувань. Точка доступу дозволяє запам'ятовувати до 40 адрес різних пристроїв і дозволяти доступ тільки їм або ж навпаки – всім, крім заданих.

Однак, змінити MAC-адресу мережевої карти не так вже й складно. І мало-мальськи грамотний хакер зможе це зробити, якщо дізнається MAC адреси дозволених мережевих карт. Так що зберігаєте MAC-адреси в таємниці і не забувайте, що фільтрація по MAC-адресами не може забезпечити 100% захист від доступу сторонніх осіб.

Проста аутентифікація користувачів за паролем "Shared Key" зробить вашу мережу закритою від небажаних користувачів, але не зупинить хакера. Альтернативу звичайної аутентифікації ми розглянемо трохи нижче, коли будемо говорити про WPA-PSK.

Зміна паролів, відключення трансляції SSID, завдання незвичайного SSID і фільтрація по MAC-адресам дозволить вам відбити бажання у доморощених хакерів отримати доступ до вашої бездротової мережі. Однак, більш просунуті зломщики можуть перехоплювати передані вами дані, прослуховуючи радіоканал. Якщо зловмисник знаходиться в зоні дії вашої мережі, то він зможе "прослуховувати" ваш ефір, озброївшись звичайним ноутбуком з бездротовим контролером і спеціальним програмним забезпеченням, якого повно у глобальній мережі.

Шифрування даних

Щоб захистити ваші дані по шляху від одного мережного контролера до іншого, використовується шифрування даних. При шифруванні даних необхідно на всіх своїх комп'ютерах і на точках доступу налаштувати протокол шифрування і ключі.

Перший і найпростіший спосіб шифрування даних – використання WEP протоколу. WEP (Wired Equivalence Privacy) дозволяє домогтися такої ж безпеки, як при використанні дротяних мереж. При використанні WEP шифрування, необхідно, щоб на всіх підключених точках використовувалися ідентичні ключі. Чим довше ключ, тим складніше його підібрати. Сучасне бездротове обладнання використовує 64-бітові, 128-бітні і 256-бітові ключі. Точка доступу Level One WAP-0004 дозволяє використовувати 64-бітні і 128-бітові ключі. Установки шифрування виробляються в розділі "Basic Settings".

128-бітний ключ – це 13 символів у форматі ASCII, а 64-бітний ключ – це 5 символів. Рекомендуємо встановлювати мінімум 128-бітний ключ, а по можливості навіть 256-бітний. У сучасному мережевому обладнанні ви можете записувати до 4 ключів WEP і вибирати активний за погодженням з клієнтами. Наприклад, по одному на кожну тиждень. Задавши ці ключі для нашої точки доступу, необхідно прописати їх же на клієнтській частини.

На стороні клієнта для цього може використовуватися програмне забезпечення, що постачається виробником мережевого устаткування або ж сама операційна система. У першому випадку зробити настройки набагато простіше. Тут так само є прапорець – ключ надається при аутентифікації по протоколу 802.1x. Краще його не включати.

Як часто міняти ключі – вибирати, природно вам. Якщо ви вважаєте, що хакер, який витратив близько 100 годин на розшифровку вашого ключа і не добився результату, не піде з горя пити пиво, а продовжить роботу – міняйте щотижня. Якщо ж ваші дані і ваш трафік не представляють великого інтересу – можете взагалі не міняти.

Проте, є спосіб, який не зажадає від вас взагалі введення жодних ключів. Пристрої, що підтримують протокол 802.11g можуть похвалитися більш прогресивним методом шифрування – WPA (Wi-Fi Protected Access). Цей стандарт об'єднує два методи – TKIP і MIC.

Суть методу шифрування TKIP полягає в тому, що 128-бітові ключі автоматично генеруються при посилці кожних 10 кілобайт даних. Загальне число ключів обчислюється сотнями мільярдів. Це означає, що наприклад при передачі MP3-файлу об'ємом 5 мегабайт, його трафік буде зашифровано за використанням 512 ключів, кожен з яких має довжину 13 символів. Така система дає найвищі гарантії від перехоплення і розшифровки даних. Крім того, спеціальний алгоритм MIC (Message Integrity Check) звіряє відправлені і отримані дані, щоб виключити їх зміни у дорозі. Хакер більше не зможе вбудувати шкідливі коди у ваші дані на шляху відправки.

Стандартний WPA протокол вимагає установки RADIUS сервера, що не застосовується в домашніх мережах і малих офісах. Простіший режим WPA-PSK підтримує заздалегідь створені ключі (Pre-Shared Keys). Цей ключ, як і ключ в режимі WEP, задається на всіх клієнтських машинах і точки доступу, щоб забезпечити первинну ідентифікацію станцій.

Точка доступу WAP-0004 від Level One дозволяє використовувати метод шифрування трафік WPA-PSK із завданням ключа. Для цього в базових налаштуваннях вибираємо метод аутентифікації: WPA-PSK і задаємо пароль. Точка доступу WAP-0004 дозволяє задавати пароль довгою від 8 до 34 символів (256-біт) – досить багато, щоб зайняти комп'ютер хакера підбором паролів на кілька найближчих років.

Точка доступу WPA-0004 підтримує шифрування тільки за методом TKIP. Так що вибирати шифрування при установці методу захисту WPA, вже не треба.

На клієнтському комп'ютері так само вибирається вид шифрування TKIP і метод аутентифікації WPA PSK. Після цього в настройках шифрування WPA задається пароль і можна сказати, що бездротове з'єднання захищено від потойбічних сил.

Шифрування WPA-PSK за методом TKIP вважається неприступною стіною для хакерів. Але існує ще більш потужний спосіб захисту: шифрування за методом AES (Advance Encryption Standard), раніше використовуваний в мережах VPN. Ця технологія підтримується не всім сучасним мережевим обладнанням. З недорогого обладнання Level One ця технологія підтримується тільки USB контролером WNC-0301USB. Але не варто пропускати повз і той факт, що до цих пір захист по протоколу WPA не була зламана хакерами.

Додаткові заходи

Які додаткові заходи варто зробити вдома чи в офісі для захисту бездротової мережі? Перш за все, якщо немає необхідності в зворотному, постаратися знизити радіус дії бездротової мережі. Щоб за стінами вашої квартири чи офісу сигнал ловився дуже погано. Тоді хакеру для роботи доведеться максимально наблизитися до вашого офісу або дому.

Якщо всі клієнтські комп'ютери підключаються до точки доступу, то на них треба заборонити з'єднання по типу ad hoc-, щоб до них не могли підключатися зловмисники, минаючи всі налаштування секретності вашої точки доступу. Для цього досить вибрати тип мережі – Infrastructure в настройках мережевих карт.

Якщо точка доступу дозволяє настроювати її по провідному підключенню і відключити бездротову настройку, треба обов'язково зробити це. Встановлення точки доступу через Wi-Fi повинна бути відключена, щоб зловмисник не міг до неї підключитися навіть знаючи пароль доступу.

Установка VPN (Virtual Private Network) ще більше захистить вашу мережу від сторонніх впроваджень.

Висновок

Перерахованих вище заходів достатньо, щоб захистити домашню або малу офісну мережу, що складається з однієї точки доступу і декількох клієнтських машин від хакерських атак. Або відбити бажання у хакера поживитися інтернетом за ваш рахунок. Давайте наостанок повторимо, що треба зробити з мережею, щоб підвищити її захист.

Ну і наостанок не варто забувати, що міцність ланцюга визначається міцністю найслабшої ланки. Ваша бездротова мережа може бути повністю захищена від стороннього доступу, але провідна частина може, сервер і шлюз може бути не підготовлений до атаки зловмисників. Ваша мережа може бути повністю захищена, але хакер зламає вашу поштову скриньку. Ну і в такому роді. Так само варто враховувати, що будь-який замок характеризується часом розтину і не забезпечує 100% захисту. А чим вищий паркан, тим більше хочеться за нього заглянути. Світ вашої мережі!

Ми дякуємо компанії "SVEGA Computer", офіційного дистриб'ютора Level One в Росії за надане мережеве обладнання.

LIKE OFF

6/07.2005

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*