Жіночий інформаційний портал / Дітям / Захист домашньої мережі WiFi від злому. Підвищуємо безпеку максимально! Розвиток захисту Wi-Fi

Захист домашньої мережі WiFi від злому. Підвищуємо безпеку максимально! Розвиток захисту Wi-Fi

16.03.2022

Ця стаття присвячена питанню безпеки під час використання бездротових мереж WiFi.

Вступ - вразливість WiFi

Головна причина вразливості даних, коли ці дані передаються через мережі WiFi, полягає в тому, що обмін відбувається по радіохвилі. І це дає можливість перехоплення повідомлень у будь-якій точці, де фізично доступний сигнал WiFi. Спрощено кажучи, якщо сигнал точки доступу можна вловити на дистанції 50 метрів, то перехоплення всього мережевого трафіку цієї мережі WiFi можливе в радіусі 50 метрів від точки доступу. У сусідньому приміщенні, на другому поверсі будівлі, на вулиці.

Уявіть таку картину. В офісі локальна мережа побудована через Wi-Fi. Сигнал точки доступу цього офісу ловиться за межами будівлі, наприклад, на автостоянці. Зловмисник, за межами будівлі, може отримати доступ до офісної мережі, тобто непомітно для власників цієї мережі. До мереж WiFi можна отримати доступ легко та непомітно. Технічно значно легше, ніж до провідних мереж.

Так. На сьогоднішній день розроблено та впроваджено засоби захисту WiFi мереж. Такий захист заснований на шифруванні всього трафіку між точкою доступу та кінцевим пристроєм, який підключений до неї. Тобто радіосигнал перехопити зловмисник може, але для нього це буде просто цифрове "сміття".

Як працює захист Wi-Fi?

Точка доступу, включає в свою WiFi мережу тільки той пристрій, який надішле правильний (зазначений в налаштуваннях точки доступу) пароль. У цьому пароль теж пересилається зашифрованим, як хеша. Хеш це результат незворотного шифрування. Тобто дані, переведені в хеш, розшифрувати не можна. Якщо зловмисник перехопить хеш пароля, він не зможе отримати пароль.

Але як точка доступу дізнається правильний вказаний пароль чи ні? Якщо вона також отримує хеш, а розшифрувати його не може? Все просто – в налаштуваннях точки доступу пароль вказаний у чистому вигляді. Програма авторизації бере чистий пароль, створює з нього хеш і потім порівнює цей хеш із отриманим від клієнта. Якщо хеші збігаються, значить у клієнта пароль правильний. Тут використовується друга особливість хешей – вони унікальні. Одинаковий хеш не можна отримати із двох різних наборів даних (паролей). Якщо два хеші збігаються, значить, вони обидва створені з однакового набору даних.

До речі. Завдяки цій особливості хеш використовуються для контролю цілісності даних. Якщо два хеша (створені з проміжком часу) збігаються, то вихідні дані (за цей проміжок часу) не були змінені.

Тим не менш, не дивлячись на те, що найсучасніший метод захисту WiFi мережі (WPA2) надійний, ця мережа може бути зламана. Яким чином?

Є дві методики доступу до мережі під захистом WPA2:

Підбір пароля на основі паролів (так званий перебір за словником).
Використання вразливості у функції WPS.

У першому випадку зловмисник перехоплює хеш пароля до точки доступу. Потім за базою даних, у якій записані тисячі, чи мільйони слів, виконується порівняння хешів. Зі словника береться слово, генерується хеш для цього слова і потім цей хеш порівнюється з тим хешом, який був перехоплений. Якщо на точці доступу використовується примітивний пароль, тоді зламування пароля, цієї точки доступу, питання часу. Наприклад, пароль з 8 цифр (довжина 8 символів це мінімальна довжина пароля для WPA2) це один мільйон комбінацій. На сучасному комп'ютері зробити перебір одного мільйона значень можна за кілька днів або годин.

У другому випадку використовується вразливість перших версіях функції WPS. Ця функція дозволяє підключити до точки доступу пристрій, на якому не можна ввести пароль, наприклад, принтер. При використанні цієї функції пристрій та точка доступу обмінюються цифровим кодом і якщо пристрій надішле правильний код, точка доступу авторизує клієнта. У цій функції була вразливість – код був із 8 цифр, але унікальність перевірялася лише чотирма з них! Тобто для злому WPS потрібно зробити перебір всіх значень, які дають 4 цифри. В результаті зламування точки доступу через WPS може бути виконаний буквально за кілька годин, на будь-якому, найслабшому пристрої.

Налаштування захисту мережі WiFi

Безпека мережі WiFi визначається настройками точки доступу. Декілька цих налаштувань прямо впливають на безпеку мережі.

Режим доступу до мережі WiFi

Точка доступу може працювати в одному з двох режимів – відкритому або захищеному. Якщо відкритий доступ, будь-який пристрій може підключитися до точки доступу. У разі захищеного доступу під'єднується лише пристрій, який передає правильний пароль доступу.

Існує три типи (стандарту) захисту WiFi мереж:

WEP (Wired Equivalent Privacy). Найперший стандарт захисту. Сьогодні фактично не забезпечує захист, оскільки зламується дуже легко завдяки слабкості механізмів захисту.
WPA (Wi-Fi Protected Access). Хронологічно другий стандарт захисту. На момент створення та введення в експлуатацію забезпечував ефективний захист WiFi мереж. Але наприкінці нульових років було знайдено можливості для злому захисту WPA через вразливість у механізмах захисту.
WPA2 (Wi-Fi Protected Access). Останній стандарт захисту. Забезпечує надійний захист за дотримання певних правил. На сьогоднішній день відомі лише два способи злому захисту WPA2. Перебір пароля за словником та обхідний шлях через службу WPS.

Таким чином, для забезпечення безпеки WiFi необхідно вибирати тип захисту WPA2. Однак, не всі клієнтські пристрої можуть його підтримувати. Наприклад, Windows XP SP2 підтримує лише WPA.

Крім вибору стандарту WPA2, необхідні додаткові умови:

Використання методу шифрування AES.

Пароль для доступу до мережі WiFi необхідно складати так:

Використовуйтелітери та цифри у паролі. Довільний набір букв і цифр. Або дуже рідкісне, значуще лише для вас, слово або фразу.
Невикористовуйте прості паролі на кшталт ім'я + дата народження, або якесь слово + кілька цифр, наприклад lena1991або dom12345.
Якщо потрібно використовувати тільки цифровий пароль, його довжина повинна бути не менше 10 символів. Тому що восьмисимвольний цифровий пароль підбирається шляхом перебору за реальний час (від декількох годин до декількох днів, залежно від потужності комп'ютера).

Якщо ви будете використовувати складні паролі відповідно до цих правил, то вашу WiFi мережу не можна буде зламати методом підбору пароля за словником. Наприклад, для пароля виду 5Fb9pE2a(довільний буквено-цифровий), максимально можливо 218340105584896 комбінацій. Сьогодні це практично неможливо для підбору. Навіть якщо комп'ютер порівнюватиме 1 000 000 (мільйон) слів на секунду, йому знадобиться майже 7 років для перебору всіх значень.

WPS (Wi-Fi Protected Setup)

Якщо точка доступу має функцію WPS (Wi-Fi Protected Setup), потрібно вимкнути її. Якщо ця функція необхідна, потрібно переконатися, що її версія оновлена до наступних можливостей:

Використання всіх 8 символів пінкод замість 4-х, як це було спочатку.
Увімкнення затримки після кількох спроб передачі неправильного пінкоду з боку клієнта.

Додаткова можливість покращити захист WPS – це використання цифробуквенного пінкоду.

Безпека громадських мереж WiFi

Сьогодні модно користуватися Інтернет через WiFi мережі у громадських місцях – у кафе, ресторанах, торгових центрах тощо. Важливо розуміти, що використання таких мереж може призвести до крадіжки ваших персональних даних. Якщо ви входите в Інтернет через таку мережу і потім виконуєте авторизацію на будь-якому сайті, то ваші дані (логін та пароль) можуть бути перехоплені іншою людиною, яка підключена до цієї мережі WiFi. Адже на будь-якому пристрої, який пройшов авторизацію і підключений до точки доступу, можна перехоплювати мережевий трафік з усіх інших пристроїв цієї мережі. А особливість громадських мереж WiFi в тому, що до неї може підключитися будь-який бажаючий, у тому числі зловмисник, причому не лише до відкритої мережі, а й захищеної.

Що можна зробити для захисту своїх даних, при підключенні до Інтернету через громадську WiFi мережу? Є лише одна можливість – використовувати протокол HTTPS. В рамках цього протоколу встановлюється зашифроване з'єднання між клієнтом (браузером) та сайтом. Але не всі веб-сайти підтримують протокол HTTPS. Адреси на сайті, що підтримує протокол HTTPS, починаються з префіксу https://. Якщо адреси на сайті мають префікс http:// це означає, що на сайті немає підтримки HTTPS або вона не використовується.

Деякі сайти за замовчуванням не використовують HTTPS, але мають цей протокол і його можна використовувати, якщо явним чином (вручну) вказати префікс https://.

Що стосується інших випадків використання Інтернет - чати, скайп тощо, то для захисту цих даних можна використовувати безкоштовні або платні сервери VPN. Тобто, спочатку підключатися до сервера VPN, а вже потім використовувати чат або відкритий сайт.

Захист пароля WiFi

У другій і третій частинах цієї статті я писав, що у випадку використання стандарту захисту WPA2, один зі шляхів злому WiFi мережі полягає в підборі пароля за словником. Але для зловмисника є ще одна можливість отримати пароль до вашої мережі WiFi. Якщо ви зберігаєте ваш пароль на стікері, приклеєному до монітора, це дає можливість побачити цей пароль сторонній людині. А ще ваш пароль може бути вкрадений з комп'ютера, який підключений до вашої WiFi мережі. Це може зробити стороння людина, якщо ваші комп'ютери не захищені від доступу сторонніх. Це можна зробити за допомогою шкідливої програми. Крім того, пароль можна вкрасти і з пристрою, який виноситься за межі офісу (будинки, квартири) - зі смартфона, планшета.

Таким чином, якщо вам потрібний надійний захист вашої мережі WiFi, необхідно вживати заходів і для надійного зберігання пароля. Захищати його від доступу сторонніх осіб.

Якщо вам виявилася корисною або просто сподобалася ця стаття, тоді не соромтеся - підтримайте матеріально автора. Це легко зробити закинувши грошики на Яндекс Гаманець № 410011416229354. Або на телефон +7 918-16-26-331 .

Навіть невелика сума може допомогти написання нових статей:)

по радіоканалу стандарту 802.11. Топологічно такі мережі можна розділити на два види: з точкою доступу(через сервер з радіопристроєм, одночасно підключений до радіомережі), ad hoc(Клієнти взаємодіють безпосередньо без точки доступу).

Розглянемо бездротову мережу з точкою доступу, реалізована за будь-яким комерційним стандартом 802.11 (a, b, g, i), крім 802.1х. Незалежно від кількості точок доступу бездротовий мережевий сегмент ідентифікується єдиним ідентифікатором (SSID). Існують три вбудовані механізми безпеки для захисту бездротових мереж: автентифікація, шифрування, WPA.

Справжність перевіряється двома механізмами: відкритою перевіркою(на точці доступу задаються обмеження MAC-адрес бездротових мережних пристроїв), закритим ключем(Користувачам бездротової мережі повідомляється пароль, який вони вводять вручну під час встановлення з'єднання).

Шифрування в бездротових мережах здійснюється за алгоритмом RC4. Шифрування підтримує два види ключів: глобальнийі сеансовий. Глобальний ключ застосовується для захисту групового та широкомовного вихідного трафіку точки доступу, а сеансовий ключ – для одноадресного вихідного трафіку точки доступу, а також групового та широкомовного вхідного трафіку точки доступу. Обидва типи ключів розповсюджуються між клієнтами мережі та вводяться вручну.

WPA забезпечує покращене шифрування за протоколом TKIP , який контролює та цілісність даних. Автентифікація перевіряється протоколом IAP .

Через бездротові мережі можуть здійснюватися такі види атак:

перехоплення трафіку,
злом адрес протоколу ARP,
атаки вірусів, що потрапили в мережу з комп'ютера зломщика,
перенаправлення (в даному випадку здійснюється злом на рівні SSL. Зломщик підробляє MAC-адресу точки доступу і надсилає користувачеві запит на прийом посвідчень нового сервера, підконтрольного йому.),
несанкціоновані підключення (до будь-якої бездротової мережі можна підключити, наблизившись на достатню відстань. При використанні відкритої системи ідентифікації будь-який може отримати доступ до корпоративної мережі.),
підключення несанкціонованих точок доступу (користувачі можуть самі встановити необхідне обладнання, не включивши на ньому захисні механізми), перевантаження мережі (атака типу DoS),
радіоперешкоди.

Щоб посилити захист бездротової мережі, слід:

змінити заводський SSID,
відключити широкомовну розсилку SSID,
необхідно використовувати шифрування з унікальними ключами,
захистити протокол SSNP (змінити спільноту для цього протоколу, задане за замовчуванням, продумати захист від PROTOS),
використовувати фільтрацію MAC-адрес, встановивши у списку допустимих бездротових клієнтів,
Разом зі службою безпеки підприємства необхідно боротися зі встановленням несанкціонованих точок доступу (необхідно перевіряти яке обладнання вносять на підприємство і виявляти точки доступу за допомогою SSNP-агентів.

Безумовно необхідно приділити увагу вибору та встановлення антен у точок доступу. По можливості потрібно використовувати антени спрямованої дії або передавачі з малим радіусом дії, щоб не розширювати територіальні межі бездротової мережі. Доцільно вважати точку доступу частиною демілітаризованої зони або мережі, яка не користується довірою. Тому рекомендується відокремлювати точки доступу від провідних мереж брандмауером.

Якісним стрибком у безпеці бездротових мереж є стандарт 802.1х. Він дозволяє використовувати максимально безпечну автентифікацію бездротових клієнтів і здійснювати безпечну шифровану передачу даних. У цьому стандарті використовуються динамічні ключі, які не потрібно встановлювати вручну. Однак для впровадження цього стандарту потрібні три речі:

для аутентифікації клієнтів бездротової мережі необхідно налаштовувати RADIUS-сервер зі спеціальною політикою віддаленого доступу для бездротової мережі;
у створенні має бути впроваджена система Відкритих ключів, т.к. для автентичності стандарт 802.1х використовує протокол EAP-TLS;
точку доступу можна організувати лише під WS2003, а бездротові клієнти повинні керуватись Windows XP SP1 або вище.

Таким чином, впровадження RADIUS-сервера може вимагати докорінної зміни топології корпоративної мережі. Використання системи Відкритих ключів вимагатиме або розгортання власної ієрархії центрів сертифікації, або придбання сертифікатів у сторонніх фірм. Впровадження стандарту 802.1х забезпечує максимальний рівень захисту бездротової мережі, але потребує великого адміністративного налаштування та фінансових витрат.

Що в наш час може бути важливішим за захист своєї домашньої Wi-Fi мережі 🙂 Це дуже популярна тема, на яку вже тільки на цьому сайті написана не одна стаття. Я вирішив зібрати всю необхідну інформацію з цієї теми на одній сторінці. Зараз ми докладно розберемося щодо захисту Wi-Fi мережі. Розкажу та покажу, як захистити Wi-Fi паролем, як правильно це зробити на роутерах різних виробників, який метод шифрування вибрати, як підібрати пароль, і що потрібно знати, якщо ви задумали змінити пароль бездротової мережі.

У цій статті ми поговоримо саме про захист домашньої бездротової мережі. І про захист лише паролем. Якщо розглядати безпеку якихось великих мереж в офісах, то там до безпеки краще підходити трохи інакше (як мінімум, інший режим автентифікації). Якщо ви вважаєте, що одного пароля мало для захисту Wi-Fi мережі, то я б радив вам не морочитися. Встановіть хороший, складний пароль за цією інструкцією і не турбуйтеся. Навряд чи хтось витрачатиме час і сили, щоб зламати вашу мережу. Так, можна ще приховати ім'я мережі (SSID), і встановити фільтрацію за MAC-адресами, але це зайві проблеми, які в дійсності будуть тільки приносити незручності при підключенні та використанні бездротової мережі.

Якщо ви думаєте про те, чи захищати свій Wi-Fi, чи залишити мережу відкритою, то рішення тут може бути тільки одним – захищати. Так, інтернет безлімітний, та практично у всіх будинках встановлений свій роутер, але до вашої мережі з часом все рівно хтось підключиться. А навіщо нам це, адже зайві клієнти, це надмірне навантаження на роутер. І якщо він у вас не дорогий, то цього навантаження він просто не витримає. А ще, якщо хтось підключиться до вашої мережі, він зможе отримати доступ до ваших файлів (якщо настроєна локальна мережа), та доступ до настройок вашого роутера (адже стандартний пароль admin, який захищає панель управління, ви швидше за все не змінили).

Обов'язково захищайте свою Wi-Fi мережу хорошим паролем із правильним (сучасним) методом шифрування. Встановлювати захист я раджу одразу при налаштуванні маршрутизатора. А ще, добре б час від часу змінювати пароль.

Якщо ви переживаєте, що вашу мережу хтось зламає, або вже це зробив, просто зміните пароль, і живіть спокійно. До речі, так як ви все одно будете заходити в панель управління свого роутера, я б ще радив, який використовується для входу в налаштування маршрутизатора.

Правильний захист домашньої Wi-Fi мережі: який метод шифрування вибрати?

У процесі встановлення пароля вам потрібно буде вибрати метод шифрування Wi-Fi мережі (метод автентичності). Я рекомендую встановлювати тільки WPA2 - Personal, із шифруванням за алгоритмом AES. Для домашньої мережі, це найкраще рішення, на даний момент найновіше та надійне. Саме такий захист рекомендують встановлювати виробники маршрутизаторів.

Тільки за умови, що у вас немає старих пристроїв, які ви захочете підключити до Wi-Fi. Якщо після налаштування у вас якісь старі пристрої відмовляться підключатися до бездротової мережі, то можна встановити протокол WPA (З алгоритмом шифрування TKIP). Не раджу встановлювати протокол WEP, тому що він уже застарілий, не безпечний і легко можна зламати. Та й можуть виникнути проблеми з підключенням нових пристроїв.

Поєднання протоколу WPA2 - Personal із шифруванням за алгоритмом AES, це оптимальний варіант для домашньої мережі. Сам ключ (пароль) має бути мінімум 8 символів. Пароль повинен складатися з англійських букв, цифр та символів. Пароль чутливий до регістру літер. Тобто, "111AA111" та "111aa111" - це різні паролі.

Я не знаю, який у вас роутер, тому підготую невеликі інструкції для найпопулярніших виробників.

Якщо після зміни або встановлення пароля у вас виникли проблеми з підключенням пристроїв до бездротової мережі, дивіться рекомендації в кінці цієї статті.

Раджу відразу записати пароль, який ви встановлюватимете. Якщо ви забудете його, то доведеться встановлювати новий, або .

Захищаємо Wi-Fi паролем на роутерах Tp-Link

Підключаємось до роутера (по кабелю, або по Wi-Fi), запускаємо будь-який браузер та відкриваємо адресу 192.168.1.1, або 192.168.0.1 (адреса для вашого роутера, а також стандартні ім'я користувача та пароль вказані на наклейці знизу самого пристрою). Вкажіть ім'я користувача та пароль. За замовчуванням це admin і admin. У , я докладніше описував вхід у налаштування.

У налаштуваннях перейдіть на вкладку Wireless(Бездротовий режим) - Wireless Security(Захист бездротового режиму). Встановіть позначку біля методу захисту WPA/WPA2 - Personal(Recommended). У меню, що випадає Version(версія) виберіть WPA2-PSK. У меню Encryption(шифрування) встановіть AES. У полі Wireless Password(Пароль PSK) вкажіть пароль для захисту своєї мережі.

Установка пароля на роутерах Asus

У налаштуваннях нам потрібно відкрити вкладку Бездротова мережа, та виконати такі налаштування:

У меню "Метод автентичності" вибираємо WPA2 - Personal.
"Шифрування WPA" – встановлюємо AES.
У полі "Попередній ключ WPA" записуємо пароль для нашої мережі.

Щоб зберегти налаштування, натисніть кнопку Застосувати.

Підключіть пристрої до мережі вже з новим паролем.

Захищаємо бездротову мережу роутера D-Link

Зайдіть до налаштувань свого роутера D-Link за адресою 192.168.0.1. Можете дивитися докладну інструкцію. У налаштуваннях відкрийте вкладку Wi-Fi - налаштування безпеки. Встановіть тип безпеки та пароль, як на скріншоті нижче.

Встановлення пароля на інших маршрутизаторах

У нас ще є докладні інструкції для роутерів ZyXEL і Tenda. Дивіться посилання:

Якщо ви не знайшли інструкції для свого роутера, то налаштувати захист Wi-Fi мережі ви зможете на панелі керування своїм маршрутизатором, в розділі налаштувань, який називається: налаштування безпеки, бездротова мережа, Wi-Fi, Wireless і т. д. Знайти я думаю буде не складно. А які установки встановлювати, я думаю ви вже знаєте: WPA2 - Personal і шифрування AES. Та й ключ.

Якщо не зможете розібратися, запитуйте у коментарях.

Що робити, якщо пристрої не підключаються після встановлення зміни пароля?

Дуже часто, після установки, а особливо зміни пароля, пристрої, які раніше були підключені до вашої мережі, не хочуть до неї підключатися. На комп'ютерах це зазвичай помилки "Параметри мережі, збережені на цьому комп'ютері, не відповідають вимогам цієї мережі" і "Windows не вдалося підключитися до…". На планшетах і смартфонах (Android, iOS) також можуть з'являтися помилки типу "Не вдалося підключитися до мережі", "Підключено, захищено" і т.д.

Вирішуються ці проблеми простим видаленням бездротової мережі, і повторним підключенням вже з новим паролем. Як видалити мережу Windows 7, я писав . Якщо у вас Windows 10, то потрібно "забути мережу". На мобільних пристроях натисніть на свою мережу, потримайте та виберіть "Вилучити".

Якщо проблеми зі з'єднанням спостерігаються на старих пристроях, то встановіть у налаштуваннях роутера протокол захисту WPA та шифрування TKIP.

Неймовірно швидкі темпи впровадження в сучасних мережах бездротових рішень змушують замислитися над надійністю захисту даних.

Сам принцип бездротової передачі даних містить у собі можливість несанкціонованих підключень до точок доступу.

Не менш небезпечна загроза – ймовірність розкрадання обладнання. Якщо політика безпеки бездротової мережі побудована на МАС-адресах, то мережна карта або точка доступу, вкрадена зловмисником, може відкрити доступ до мережі.

Часто несанкціоноване підключення точок доступу до ЛОМ виконується самими працівниками підприємства, які не замислюються про захист.

Вирішенням таких проблем потрібно займатися комплексно. Організаційні заходи вибираються з умов роботи кожної конкретної мережі. Що ж до заходів технічного характеру, то дуже хороший результат досягається з використанням обов'язкової взаємної аутентифікації пристроїв і запровадження активних засобів контролю.

У 2001 році з'явилися перші реалізації драйверів та програм, що дозволяють впоратися із шифруванням WEP. Найуспішніший - PreShared Key. Але і він хороший тільки при надійній шифрації та регулярній заміні якісних паролів (рис.1).

Рисунок 1 – Алгоритм аналізу зашифрованих даних

Сучасні вимоги до захисту

Аутентифікація

В даний час у різному мережному обладнанні, у тому числі в бездротових пристроях, широко застосовується сучасніший спосіб аутентифікації, який визначений у стандарті 802.1х - доки не буде проведена взаємна перевірка, користувач не може приймати, ні передавати жодних даних.

Ряд розробників використовують для аутентифікації у своїх пристроях протоколи EAP-TLS та PEAP, Cisco Systems, пропонує для своїх бездротових мереж, окрім згаданих, такі протоколи: EAP-TLS, РЕАР, LEAP, EAP-FAST.

Усі сучасні методи автентифікації мають на увазі підтримку динамічних ключів.

Головний недолік LEAP та EAP-FAST – ці протоколи підтримуються в основному в обладнанні Cisco Systems (рис. 2).

Рисунок 2 - Структура пакета 802.11x при використанні TKIP-PPK, MIC та шифрації WEP.

Шифрування та цілісність

На підставі рекомендацій 802.11i Cisco Systems реалізовано протокол ТКIР (Temporal Integrity Protocol), що забезпечує зміну ключа шифрування РРК (Per Packet Keying) у кожному пакеті та контроль цілісності повідомлень MIC (Message Integrity Check).

Інший перспективний протокол шифрування та забезпечення цілісності – AES (Advanced Encryption Standart). Він має кращу криптостійкість порівняно DES і ГОСТ 28147-89. Він забезпечує і шифрацію, і цілісність.

Зауважимо, що алгоритм (Rijndael), що використовується в ньому, не вимагає великих ресурсів ні при реалізації, ні при роботі, що дуже важливо для зменшення часу затримки даних і навантаження на процесор.

Стандарт забезпечення безпеки у бездротових локальних мережах – 802,11i.

Стандарт Wi-Fi Protected Access (WPA) – це набір правил, що забезпечують реалізацію захисту даних у мережах 802.11х. Починаючи з серпня 2003 року, відповідність стандартам WPA є обов'язковою вимогою до обладнання, що сертифікується на звання Wi-Fi Certified.

Специфікація WPA містить змінений протокол TKOP-PPK. Шифрування проводиться на поєднанні кількох ключів - поточного та наступного. У цьому довжина IV збільшена до 48 біт. Це дає можливість реалізувати додаткові заходи захисту інформації, наприклад посилити вимоги до реасоціацій, реаутентифікацій.

Специфікації передбачають і підтримку 802.1х/EAP, і автентифікацію з ключем, що розділяється, і, безсумнівно, управління ключами.

Таблиця 3 – Способи реалізації політики безпеки

Продовження таблиці 3

За умови використання сучасного обладнання та ПЗ в даний час цілком можливо побудувати на базі стандартів серії 802.11х захищену та стійку до атак бездротову мережу.

Майже завжди бездротова мережа пов'язана з провідною, а це, крім необхідності захищати бездротові канали, необхідно забезпечувати захист у провідних мережах. Інакше мережа матиме фрагментарний захист, що є загрозою безпеці. Бажано використовувати обладнання, що має сертифікат Wi-Fi Certified, тобто підтверджує відповідність WPA.

Потрібно впроваджувати 802.11х/EAP/TKIP/MIC та динамічне управління ключами. У разі змішаної мережі слід використовувати віртуальні локальні мережі; за наявності зовнішніх антен застосовується технологія віртуальних приватних мереж VPN.

Необхідно поєднувати як протокольні та програмні засоби захисту, так і адміністративні.

ГЛАВА 3 ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ

У зв'язку з бурхливим розвитком локальних і глобальних обчислювальних мереж широкого розвитку отримали методи розвідки (промислового шпигунства), створені задля перехоплення інформації, оброблюваної (переданої, що зберігається) у локальних мережах.

Проникнення в локальну мережу будь-якої організації можливе лише за недостатньо кваліфікованого настроювання всіх елементів локальної мережі адміністратором системи. У разі грамотного налаштування, зловмисникам необхідно шукати методи добування інформації, не пов'язані з проникненням в локальну мережу. Для цього використовуються методи перехоплення інформації по каналах побічних випромінювань та наведень (ПЕМІН) елементів локальної мережі. Методика захисту окремих комп'ютерів досить добре опрацьована, підкріплена необхідними нормативними документами. Завдання захисту інформації від витоку по каналах ПЕМІН в локальній мережі істотно складніше, ніж для автономно використовуваних пристроїв.

Джерелами електромагнітних випромінювань у локальній мережі є робочі станції та активне мережеве обладнання. Для захисту від витоку інформації по каналах побічних випромінювань та наведень застосовується екранування обладнання. Для зниження рівня випромінювань активного обладнання локальної мережі обладнання та сервери найкраще розміщувати в екранованій шафі.

Для комп'ютерів в даний час доступні корпуси, які відповідають вимогам Європейської Директиви з електромагнітної сумісності (European EMS Directive 89/336/EEC). Сучасні корпуси дозволяють значно послабити випромінювання елементів комп'ютера, але більшість потребує додаткового доопрацювання. Якість екранування корпусу системного блоку комп'ютера впливає рівень випромінювання всіх пристроїв, підключених до системного блоку (наприклад, клавіатури). Стандартна клавіатура має дуже високий рівень випромінювання. У той же час, з клавіатури вводяться дуже критичні з точки зору безпеки дані, включаючи паролі користувачів та адміністратора системи. Для перехоплення випромінювання клавіатури можна використовувати простий короткохвильовий приймач. Враховуючи також, що дані, що вводяться з клавіатури, вводяться в послідовному коді і тому можуть легко інтерпретовані, випромінювання, створювані клавіатурою, слід вважати найбільш небезпечними. Результати вимірювань рівня електричної (рис.3) і магнітної (рис.4) складових показав, що комп'ютери з різними серійно випускаються корпусами системних блоків потужність побічних випромінювань від клавіатури може відрізнятися більш ніж в 100 разів.

Рисунок 3 - Рівні електричної складової

Рисунок 4 - Рівні магнітної складової

Аналогічні співвідношення виходять для інших пристроїв, які входять до складу ПК.

Завдання доопрацювання стандартних корпусів та шаф:

По-перше, у місцях з'єднання окремих конструкцій корпусу завжди є щілини, що істотно погіршують екрануючі властивості.

По-друге, корпус електронного приладу не може бути герметичним, оскільки потрібні вентиляційні отвори для відведення тепла.

По-третє, конструкція екрануючого корпусу може бути розрахована заздалегідь. Тому доопрацювання стандартного корпусу з метою поліпшення його властивостей, що екранують, це завжди експериментальна робота.

Зараз існує безліч матеріалів, призначених для покращення екрануючих властивостей корпусів - всілякі пружинні ущільнювачі, електропровідні еластомери, металізовані самоклеючі покриття.

Джерелом випромінювання є блок живлення. Всередину живлення подається через фільтр, що перешкоджає розповсюдженню побічних випромінювань вздовж дротів. Але розрахувати фільтр для повного придушення випромінювань практично неможливо, тому що на його характеристики впливають дуже багато параметрів зовнішньої мережі. Жоден фільтр, що серійно виготовляється, не може повністю виконувати свої функції в широкій смузі частот. Хороші фільтри - це компромісне рішення, яке тільки в більшості випадків задовольняє вимогам, що висуваються до фільтра.

Залежно від цього характеристики захисту інформації від витоку по каналах ПЕМІН автономного комп'ютера або комп'ютера у складі мережі, можуть істотно відрізнятися. І основним фактором, що призводить до відмінності параметрів, є заземлення механізмів.

В автономних пристроях заземлення не покращує і не погіршує їх властивостей, що екранують. Заземлення потрібне лише за вимогами техніки електробезпеки. При грамотно виконаному заземленні рівень побічних випромінювань дещо знижується. Але в деяких випадках при підключенні заземлення рівень побічних випромінювань може збільшитися.

Кабельна система не містить активних елементів, тому сама по собі вона не може бути джерелом побічних випромінювань. Проте кабельна система пов'язує між собою всі елементи комп'ютерної мережі. По ній передаються мережеві дані і є також приймачем всіх наведень і середовищем для перенесення побічних електромагнітних випромінювань (рис.5).

Рисунок 5 - Побічні електромагнітні випромінювання

Тому слід розрізняти:

Побічний випромінювання, викликане передаються по даній лінії сигналами (трафіком локальної мережі);

Прийом та подальше перевипромінювання побічних випромінювань від розташованих поблизу інших ліній та пристроїв;

Випромінювання кабельної системи побічних коливань від елементів мережного активного обладнання та комп'ютерів, до яких підключений кабель.

Найчастіше в оцінці захищеності кабельної системи цікавляться лише тим, наскільки послаблюється побічний випромінювання, викликане сигналами, передані кабелю у процесі мережного обміну інформацією.

Якщо з радіовипромінювання кабельної системи можна відновити трафік у локальній мережі, це становить велику небезпеку. Насправді трафік локальної мережі досить добре захищений від витоку інформації каналами ПЕМІН. Сучасні кабелі для локальних мереж мають дуже низький рівень випромінювання переданих сигналів. У цих кабелях сигнали передаються по кручений парі проводів, причому кількість скруток на одиницю довжини строго постійно. У принципі, така система взагалі не повинна випромінювати. Більш того, наявність екрана у кручений пари дуже мало впливає на рівень випромінювання сигналів, що передаються по кручений парі. У реальній системі завжди мають місце окремі неоднорідності кабелю, які впливають на рівень побічного випромінювання, що виникає в процесі мережного обміну. Реально на відстані буквально одиниць метрів вже неможливо з електромагнітного випромінювання сучасного кабелю перехопити інформацію, що передається по ньому. Але в більшості практичних випадків кабельна система – це відмінна антена для всіх побічних випромінювань обладнання, підключеного до мережі. Побічні випромінювання, що виникають в елементах комп'ютера, наводяться на всі дроти кабелю локальної мережі (рис.6).

Рисунок 6 - Побічні випромінювання в елементах комп'ютера

Внаслідок цього для побічних випромінювань елементів комп'ютера кабель локальної мережі необхідно розглядати просто як одиночний багатожильний провід, що виходить за межі об'єму екранованого. Поставити для цих дротів фільтр, який пригнічує побічні випромінювання, неможливо. Пригнічуючи побічні випромінювання, ми придушимо мережевий трафік. Таким чином, якщо комп'ютер із захистом інформації включити в локальну мережу на неекранованій кручений пари, то проводи кручений пари, граючи роль антени, можуть посилити напруженість поля, створюваного, наприклад, клавіатурою комп'ютера (рис. 2, рис. 3), в десятки тисяч разів. Тому неекранована кручена пара не може застосовуватися в локальній мережі, в якій обробляється інформація з обмеженим доступом. Застосування екранованої крученої пари значно покращують ситуацію.

p align="justify"> Локальна комп'ютерна мережа в даний час вже не може експлуатуватися автономно, без взаємодії з іншими мережами. Зокрема, будь-яка організація, будь то приватне підприємство, орган державного управління або відділ МВС, має бути активно представлена у глобальній мережі інтернет. Це і власний сайт, і загальнодоступна електронна пошта, доступ співробітників до інформації глобальної мережі. Така тісна взаємодія входить у конфлікт із вимогами забезпечення безпеки. При взаємодії кількох мереж можуть виникати різні загрози безпеці. Наприклад, при підключенні до глобальної мережі найневиннішою з можливих загроз є зламування мережі з хуліганських спонукань. У комп'ютерних мережах державних органів влади циркулює інформація, що становить інтерес для іноземних розвідок. У комп'ютерних мережах МВС циркулює інформація, що становить інтерес для криміналу. Ця інформація може не мати грифа секретності. Проте разом дозволяє отримати досить важливі відомості. Тому, у разі об'єднання комп'ютерних мереж державних органів з глобальною мережею інтернет, крім хуліганських зломів, слід передбачати і більш кваліфіковані спроби проникнення в мережу зловмисників. Протистояти таким спробам дуже складно. Тому мережу інтернет необхідно ізолювати від внутрішньої мережі, у якій зосереджено узагальнені дані. Відомо кілька способів ізоляції власної комп'ютерної мережі від глобальної мережі Інтернет з метою забезпечення безпеки. У мережах, у яких не циркулює інформація з обмеженим доступом, для ізоляції мереж зазвичай досить використовувати маршрутизатор. Але серйозний захист від вторгнення з глобальної мережі можна забезпечити лише за допомогою міжмережевих екранів (FireWall). Тому захисту корпоративної інформації комерційних фірм необхідно застосування міжмережевих екранів. Однак, для захисту інформації в державних органах зазвичай міжмережевий екран не забезпечує необхідного рівня захисту. Найповніше безпека забезпечується лише у разі фізичної ізоляції мережі Інтернет від власної локальної мережі. Безумовно, це створює певні незручності у роботі та потребує додаткових витрат при створенні комп'ютерної мережі. Проте за умов необхідності протидії криміналу це виправдана міра.

При побудові мереж із фізичною ізоляцією також необхідно враховувати питання захисту від витоку інформації каналами ПЕМІН. У багатьох випадках співробітнику, який працює з інформацією обмеженого доступу, необхідна і можливість виходу в інтернет. На робочому місці встановлюється два комп'ютери, один з яких підключений до локальної мережі підприємства (організації), а другий до мережі Інтернет. У цьому випадку кабелі власної мережі із захистом інформації та кабелі відкритої мережі інтернет дуже важко рознести на достатню відстань. Внаслідок цього інформація, що циркулює в локальній мережі, а також усі побічні випромінювання комп'ютерів, наведені на кабелі локальної мережі, можуть бути наведені і на кабелі відкритої мережі інтернет. Мало того, що кабель відкритої мережі – це досить довга антена (особливо коли відкрита мережа прокладена неекранованим кабелем). Кабелі відкритої мережі зазвичай виходять за межі території, що охороняється, тому зняти інформацію можна не тільки шляхом перехоплення випромінювань, але й шляхом безпосереднього підключення до кабелів відкритої мережі. Тому кабелі відкритої мережі також повинні бути прокладені відповідно до всіх рекомендацій, що виконуються при побудові мережі із захистом інформації.

РОЗДІЛ 4. РОЗРОБКА ЛОКАЛЬНОЇ МЕРЕЖІ З ПІДВИЩЕНИМИ ВИМОГАМИ ДО ЗАХИСТУ ІНФОРМАЦІЇ

Державної освітньої установи

Вищої професійної освіти

Тюменський державний університет

Інститут математики та комп'ютерних наук

Кафедра інформаційної безпеки

Курсова робота

за спеціальністю

« Захист бездротових мереж »

Виконали:

Студент гурту №357

Колбін С.С.

Керівник:

Вступ .

Бездротові мережі дуже багато спільного з провідними, але є й відмінності. Щоб проникнути у провідну мережу, хакеру необхідно фізично до неї підключитися. У варіанті Wi-Fi йому достатньо встановити антену в найближчому підворітті в зоні дії мережі.

Хоча сьогодні у захисті Wi-Fi-мереж і застосовуються складні алгоритмічні математичні моделі аутентифікації, шифрування даних, контролю цілісності їх передачі, проте, на початкових етапах поширення Wi-Fi нерідко з'являлися повідомлення про те, що навіть не використовуючи складного обладнання та спеціальних програм можна було підключитися до деяких корпоративних мереж просто проїжджаючи повз ноутбук. З'явилися навіть легенди про хакери, що роз'їжджають по великих містах (war driver), з антенами, спорудженими з консервної банки або упаковки з-під чіпсів. Нібито у них навіть була своя умовна система знаків, що малювалися на тротуарі та вказували незахищені належним чином точки доступу. Можливо, так і було лише замість банок з-під чіпсів використовувалися потужні антени, а умовні знаки позначалися на карті, пов'язаній із системою глобального позиціонування (GPS). Ця курсова робота присвячена захисту бездротових мереж. У ній хочу розповісти, як можна захистити бездротову мережу. Фахівці з мережевої безпеки знають, що неможливо повністю захистити мережу і такого поняття, як «досконалий захист», просто немає. Для того щоб правильно спланувати безпеку бездротової мережі (або провідної) потрібно враховувати вартість цінностей, вартість впровадження системи безпеки, а також здібності потенційних атакуючих. Іншими словами, перш ніж впроваджувати всі заходи захисту, відомі людству, розумніше (і дешевше) впровадити заходи захисту від найчастіших загроз.

Наприклад, бездротові мережі, розташовані в містах, зазвичай атакуються частіше, ніж мережі, розташовані в малонаселеній місцевості. За день у місті через вашу мережу можуть пройти десятки та навіть сотні відвідувачів. Крім того, зловмисники можуть залишатися непоміченими, перебуваючи у машині, припаркованій неподалік. З іншого боку, точка доступу, розташована в будинку посередині села, навряд чи колись побачить чужого відвідувача, та й знайомий транспорт буде одразу помітний.

Для деяких користувачів налаштування безпеки бездротових мереж здається складним, вони сподіваються на "може пронести" і залишають свою мережу абсолютно відкритою, тобто незахищеною. Також люди іноді запитують, що якщо вони використовують мережу тільки для перегляду інтернет сторінок і на комп'ютерах немає секретної інформації, то навіщо їм захищати свою мережу? На це питання є гарна відповідь.

Мета роботи: провести аналіз безпеки бездротових мереж, виділити методи їх захисту та визначити особливості кожного проаналізованого методу.

1. Історія розвитку захисту Wi-Fi.

В 1997 вийшов перший стандарт IEEE 802.11, безпека якого, як виявилося, далека від ідеалу. Простий пароль SSID (Server Set ID) для доступу до локальної мережі за сучасними мірками не можна вважати захистом, особливо, враховуючи факт, що до Wi-Fi не потрібно фізично підключатися.

Головним захистом довгий час було використання цифрових ключів шифрування потоків даних за допомогою функції Wired Equivalent Privacy (WEP). Самі ключі являють собою прості паролі з довжиною від 5 до 13 символів ASCII, що відповідає 40 або 104-розрядному шифруванню на статичному рівні. Як показав час, WEP виявилася не найнадійнішою технологією захисту. І, до речі, всі основні атаки хакерів припали якраз на епоху впровадження WEP.

Після 2001 року для провідних і бездротових мереж було впроваджено новий стандарт IEEE 802.1Х, який використовує варіант динамічних 128-розрядних ключів шифрування, тобто періодично змінюються в часі. Таким чином, користувачі мережі працюють сеансами, після яких їм надсилається новий ключ. Наприклад, Windows ХР підтримує цей стандарт, і за умовчанням час одного сеансу дорівнює 30 хвилин.

Наприкінці 2003 року було впроваджено стандарт Wi-Fi Protected Access (WPA), який поєднує переваги динамічного оновлення ключів IEEE 802.1Х з кодуванням протоколу інтеграції тимчасового ключа Temporal Кеу Integrity Protocol (TКlP), протоколом розширеної аутентифікації Extensible Authentication перевірки цілісності повідомлень Message Integrity Check (MIC)

Крім цього, паралельно розвивається безліч самостійних стандартів безпеки від різних розробників, зокрема, у цьому напрямку процвітають Intel та Cisco. У 2004 році з'являється WPA2, або 802.11i, - максимально захищений стандарт

Незахищена бездротова мережа схильна до трьох основних небезпек.

2.1 Ваші мережеві ресурси будуть доступні незнайомцям.

Коли хтось підключається до вашої бездротової мережі, він нічим не відрізняється від користувача, який приєднався до дротового комутатора вашої мережі. Якщо ви не обмежуєте доступ до загальних ресурсів, то непрохані гості можуть робити те ж саме, що й відомі користувачі. Вони можуть скопіювати змінювати або навіть повністю видаляти файли, каталоги і навіть цілі диски. Або навіть гірше – запускати перехоплювачі натискань клавіатури, "трояни" чи інші шкідливі програми, які працюватимуть на невідомих господарів.

2.2 Весь мережевий трафік може бути перехоплений для подальшого дослідження.

Маючи при собі потрібні інструменти, можна в режимі реального часу переглядати відвідувані вами web-сторінки, адреси сайтів і, що гірше, перехоплювати ваші паролі для подальшого використання, найчастіше в корисливих цілях.

2.3 Ваш інтернет-канал може використовуватись для будь-якої діяльності, у тому числі й незаконної.

Якщо відкрита бездротова мережа використовуватиметься для нелегального розповсюдження фільмів чи музики, то у багатьох країнах за це можна поплатитися позовом із боку правоохоронних органів. Якщо ж канал використовувався для передачі на зовнішній ресурс чогось більш протизаконного, наприклад дитячої порнографії, або такий сервер з'явився всередині мережі, проблеми можуть бути набагато серйознішими. Крім того, каналом можуть скористатися спамери, любителі атак DOS та розповсюджувачі шкідливого ПЗ, вірусів, та й багато інших.

Цілком розумно роздавати доступ до Інтернету всім вашим гостям. Але доки ви не забезпечите серйозний захист бездротової мережі, ви ризикуєте.

3. Методи захисту від хакерів різного рівня підготовки.

3.1 Вміння нульового рівня: будь-який власник комп'ютера з бездротовим адаптером.

Для того щоб зламати незахищену мережу можна і не мати якихось особливих навичок - кожен власник комп'ютера з бездротовим адаптером потенційно здатний це зробити. Простота використання найчастіше згадується в контексті бездротових мережевих рішень як величезний плюс, проте це палиця з двома кінцями. У багатьох випадках, увімкнувши комп'ютер із підтримкою бездротової мережі, користувач автоматично підключається до точки доступу або бачить її у списку доступних.

Нижче наведено заходи, які дозволять захистити мережу від випадкових відвідувачів, але анітрохи не ускладнять доступ до неї вмілим зломщикам. Усі заходи впорядковано у списку за важливістю. Більшість із них настільки прості, що їх рекомендується реалізувати їх усі, якщо дозволяє обладнання.

Змініть параметри за замовчуванням

Змініть пароль адміністратора (та ім'я користувача, якщо це можливо) та ідентифікатор SSID (ім'я мережі) на точці доступу. Як правило, облікові дані адміністратора, встановлені за умовчанням, відкриті та доступнідля більшості бездротового обладнання. Тому, не замінивши їх, ви ризикуєте якось отримати відмову при вході в систему і втратити можливість управління бездротовою мережею (доки не скинете всі налаштування)! Змінити SSID особливо необхідно, якщо ви працюєте по сусідству з іншими точками доступу. Якщо сусідні точки доступу виявляться того ж виробника, то вони мають той же SSID за замовчуванням, і клієнти, що цілком імовірно, зможуть підключитися до вашої ТД, а не до своєї. Не використовуйте особисту інформацію для нового SSID! Під час вардрайвінгу вдавалося помітити такі SSID:

Ім'я та прізвище;

Вулиця, будинок, квартира;

Номер паспорта;

Номер телефону.

В принципі, якщо поруч є кілька точок доступу, то має сенс змінити канал, щоб уникнути взаємних перешкод. Однак цей захід не надто вплине на захищеність, оскільки клієнти найчастіше переглядають усі доступні канали.

Обновіть прошивку та, якщо потрібно, обладнання.

Використання на точці доступу останньої версії програмного забезпечення також підвищує безпеку. У новій прошивці зазвичай виправлені виявлені помилки, а іноді додані нові можливості захисту. У деяких нових моделях точок доступу для оновлення достатньо кілька разів клацнути кнопкою миші. Точки доступу, випущені кілька років тому, часто вже не підтримуються виробниками, тобто на нові прошивки очікувати не варто. Якщо ж прошивка вашої точки доступу не підтримує навіть WP A(Wi-Fi Protected Access), не кажучи про WPA2, то слід серйозно замислитися про її заміну. Те саме стосується адаптерів! В принципі, все обладнання 802.11g, що продається сьогодні, підтримує, як мінімум, WPA і технічно здатне бути модернізовано до рівня WPA2. Проте виробники не завжди поспішають із оновленням старих продуктів.

Вимкніть SSID.

Більшість точок доступу дозволяють відключити SSID, що може обвести навколо пальця деякі утиліти на зразок NetstumbIer. Крім того, приховування SSID блокує виявлення вашої мережі засобами вбудованої утиліти налаштування бездротової мережі Windows ХР (Wireless Zero Configuration) та інших клієнтських програм. Рис. 1 показано пункт відключення широкомовлення SSID "Hide ESSID" на точці доступу ParkerVision. ("SSID" і "ESSID" в даному випадку означають те саме).

Рис. 1. Відключення широкомовлення SSID на точці доступу Раркеrvisiо n .

Примітка.Відключення широкомовлення SSID не убезпечить вас від зломщиків, які використовують такі засоби, як Kismetабо AirMagпет. Вони визначають наявність бездротової мережі незалежно від SSID.

Вимикайте мережу, коли не працюєте!

Часто користувачі пропускають повз увагу найпростіший спосіб захисту - вимкнення точки доступу. Якщо немає бездротової мережі, то немає і проблем. Найпростіший таймер може вимкнути точку доступу, наприклад, на ніч, доки ви не користуєтеся. Якщо для бездротової мережі та для доступу до Інтернету ви використовуєте один і той же бездротовий маршрутизатор, то при цьому з'єднання з Інтернетом теж не працюватиме – цілком непогано.

Якщо ж ви не хочете відключати з'єднання з Інтернетом, тоді можна відключати радіомодуль маршрутизатора вручну, якщо це дозволяє. На Рис. 2показано пункт відключення радіомодуля. Такий спосіб недостатньо надійний, оскільки він залежить від "людського фактора" – можна просто забути про відключення. Можливо, виробники колись додадуть функцію відключення радіомодуля за розкладом.

Рис. 2. Вимкнення радіомодуля.

Фільтрування по MAC -адресам

Фільтрування MAC-адрес використовується для того, щоб доступ до мережі могли отримати (або, навпаки, не отримати) тільки ті комп'ютери, чиї адреси вказані в списку. Фільтрування захистить вашу мережу від новачків, але досвідчені хакери можуть легко перехопити MAC-адреси та підмінити свою адресу на одну з дозволених.

Рис. 3. Фільтрування MAC -адрес на точці доступу USR 8011

Зниження потужності передачі

Лише деякі споживчі точки доступу мають цю функцію, проте зниження потужності передачі дозволить обмежити кількість навмисних, так і випадкових неавторизованих підключень. Втім, чутливість доступних масовому користувачеві бездротових адаптерів постійно зростає, тому навряд чи варто спантеличуватися цим способом, особливо якщо ви це робите виключночерез безпеку в багатоквартирному будинку. Досвідчені хакери зазвичай використовують потужні спрямовані антени, що дозволяє їм виявляти дуже слабкий сигнал і зводить суттєвість цього пункту до нуля.

3.2 Вміння першого рівня: користувач із загальнодоступним набором утиліт для злому WLAN

Перейдемо до більш досвідчених користувачів, які спеціально тиняються по околицях у пошуках бездротових мереж. Деякі займаються цим просто з інтересу, намагаючись виявити, скільки мереж знаходиться поряд. Вони ніколи не намагаються використовувати вразливі мережі. Але є і менш доброзичливі хакери, які підключаються та використовують мережі, а іноді навіть завдають власникам незручностей. Всі вжиті заходи нульового рівня не врятують від зломщиків першого рівня, і непроханий гість може проникнути до мережі. Від нього можна захиститися, використовуючи шифруванняі автентифікацію.З автентифікацією розбиратимемося трохи пізніше, поки ж зупинимося на шифруванні. Одне з можливих рішень – пропускати весь бездротовий трафік через тунель VPN (Virtual Private Network) – віртуальна приватна мережа.

Шифрування

Власникам бездротових мереж слід використовувати найнадійніший з доступних методів шифрування. Звичайно, тут все залежить від обладнання, але, так чи інакше, можна вибрати WБР, WPA або WPA2. WEP (Wired Equivalent Privacy) - безпека, еквівалентна провідній мережі є найслабшим протоколом, але на поточний час він найбільш широко поширений та підтримується практично всім обладнанням 802.11. Можливо, доведеться зупинитися на використанні цієї технології і тому, що не всі виробники бездротового обладнання випустили оновлення прошивки за допомогою WPA для обладнання 802.11 B. Деякі досі випускають обладнання, яке підтримує лише WEP, наприклад – бездротові VoIP-телефони. Таким чином, доводиться штучно знижувати безпеку мережі через те, що не все обладнання підтримує нові технології.

Як WPA (Wi-Fi Protected Access), так і WPA2 забезпечують гарний захист бездротової мережі, що досягається завдяки більш стійкому алгоритму шифрування та покращеному алгоритму управління ключами. Основна відмінність між ними полягає в тому, що WPА2 підтримує стійкіше шифрування AES (Advanced Encryption Standard). Однак, ряд продуктів, що підтримують WPA, теж дозволяють використовувати алгоритм шифрування AES замість стандартного TKIP.

Більшість продуктів 802.11 g підтримують WPA, але є винятки. Щодо оновлення старих продуктів до WPА2, то багато прошивок досі перебувають у стані розробки, незважаючи на те, що стандарт 802.11i, на якому заснований WPА2, був затверджений ще в червні 2004 року.

Ми рекомендуємо щонайменше використовувати WPA. Його ефективність можна порівняти з WPА2, і, як ми вже писали, стандарт підтримується великою кількістю обладнання. Звичайно, впровадження WPA може вимагати придбання нового обладнання, особливо якщо ви використовуєте 802.11b. Проте обладнання 11g стоїть сьогодні відносно недорого та зможе виправдати себе.

Більшість споживчих точок доступу WPA та WPА2 підтримують лише режим із загальним паролем WPA-PSK (Pre-Shared Кеу) (Мал. 4). WPA2 або WPA "Enterprise" (він же WPA "RADIUS") також підтримується в деякому обладнанні, проте його використання вимагає наявності сервера RADIUS

Рис. 4. Шифрування трафіку на точці доступу Netgear.

Для більшості приватних бездротових мереж використання WPA-PSK забезпечить достатній захист, але при виборі відносно довгого і складного пароля. Не слід використовувати лише цифри або слова зі словника, оскільки такі програми, як cowpatty, дозволяють проводити словникові атаки проти WPA-РSK

Роберт Москович (Robert Moskowitz), старший технічний директор ICSA Labs, у своїй статтірекомендував використовувати 128-бітове шифрування PSK. На щастя, всі реалізації WPA дозволяють використовувати цифробукові паролі, тобто для виконання рекомендації Московича достатньо 16 символів.

В Інтернеті можна знайти безліч генераторів паролів, варто лише скористатися пошуковою системою. І, нарешті, деякі виробники

обладнання стали продавати точки доступу та бездротові адаптери з автоматичним налаштуванням захисту бездротових з'єднань. Buffalo технології. випустила серію продуктів із технологією AOSS(AirStation OneTouch Secure Station). Linksys нещодавно розпочала виробництво та продаж обладнання з підтримкою подібної технології SecureEasySetupвід Broadcom.

3.3 Вміння BToporo рівня: користувач з розширеним набором утиліт для злому WEP/WPA-PSK

WPA і WPА2 закривають більшість проблем, які є у WEP, але вони все ж таки залишаються вразливими, особливо у варіанті PSK. Злом WPA і WPА2 з паролем складніший і вимагає великих витрат, особливо при використанні шифрування AES, але все ж таки можливий.

Аутентифікація

Для захисту від цієї загрози слід впроваджувати автентифікацію. Аутентифікація додає ще один рівень безпеки, вимагаючи, щоб комп'ютер клієнта реєструвався в мережі. Традиційно це виконується за допомогою сертифікатів, маркерів або паролів (також відомих як PreShared-Key), які перевіряються на сервері автентифікації.

Стандарт 802.1Хдозволяє працювати з WEP, WPA та WPA2 та підтримує кілька типів аутентифікації ЄАР(Extensible Authentication Protocol). Налаштування аутентифікації може виявитися важким і дорогим завданням навіть для професіоналів, не кажучи про звичайних користувачів. На нинішній конференції RSA у Сан-Франциско, наприклад, багато відвідувачів вирішили не налаштовувати безпеку бездротових підключень лише через те, що керівництво займало цілу сторінку!

На щастя, ситуація постійно покращується, вже не потрібно купувати повноцінний сервер RADIUS, Оскільки з'явилося безліч простих у встановленні альтернативних рішень.

Подібний продукт від Wireless Security Corporation (нещодавно придбаної McAfee) зветься WSC Guard. Ціна підписки на нього починається від $4,95 на місяць за кожного користувача, при оплаті кількох місць діють знижки. Наступне рішення більше підходить для досвідчених "мережників" - TinyPEAPє прошивкою з сервером RADPJS, який підтримує аутентифікацію РЕАР на бездротових маршрутизаторах Linksys WRT 54 Gі GS. Зазначу, що прошивка офіційно не підтримується Linksys, тому установка виконується на свій страх і ризик.

3.4 Вміння третього рівня: професійний хакер

До цього моменту захист зводився до того, щоб не дати зловмиснику підключитися до вашої мережі. Але що робити, якщо попри всі зусилля. хакер пробрався до мережі?

Існують системи виявлення та запобігання атакам для провідних та бездротових мереж, однак вони націлені на корпоративний рівень і мають відповідну вартість. Також можна знайти рішення, засновані на відкритому вихідному коді, але вони, на жаль, не зовсім зрозумілі для новачків. За багато років існування провідних мереж були вироблені основні принципи безпеки, які можна застосовувати і до бездротових мереж. Вони дозволять захиститись від вторгнення зловмисника.

Загальна безпека мережі

Для посилення захисту мереж слід запровадити такі заходи

Аутентифікація під час звернення до будь-якого мережного ресурсу.

Будь-який сервер, будь-який загальний ресурс, панель керування маршрутизатором тощо. повинні вимагати автентифікації. Хоча впровадити на рівні користувачів справжню автентифікацію без відповідного сервера неможливо. Як мінімум, слід встановити паролі на всі загальні ресурси та відключити гостьовий обліковий запис, якщо ви використовуєте Windows ХР. І ніколи не надайте у спільне користування цілі розділи!

Сегментування мережі.

Комп'ютер, не підключений до мережі, захищений від атак мережі. Однак є інші способи обмеження доступу. Декілька правильно налаштованих недорогих маршрутизаторів NAT можуть стати чудовою основою для створення захищених сегментів LAN, з можливістю доступу з них в Інтернет. Докладніше про це читайте тут. Комутатори або маршрутизатори з підтримкою VLAN допоможуть також із розділенням мережі. Втім, функції VLAN є на більшості керованих комутаторів, проте вони практично не зустрічаються в недорогих маршрутизаторах та некерованих комутаторах.

Програмні засоби захисту.

Як мінімум, потрібно використовувати оновлені антивірусні рішення та регулярно оновлювати бази. Персональні брандмауери, такі як ZoneAlarm, BlackICEта інші повідомлять про підозрілу мережеву активність. На жаль, останні версії шкідливих та "шпигунських" програм вимагають встановлення ще й спеціального "антишпигунського" програмного забезпечення. Тут можна відзначити Webroot Softwares Spy Sweeper, а також Sunbelt Software"s CounterSpy.

Зазначимо, що для організації надійного захисту мережі необхідно захистити всі машини без винятку!

Шифрування файлів.

Шифрування файлів з використанням криптостійких алгоритмів забезпечить надійний захист у разі неавторизованого доступу. Користувачі Windows ХР можуть скористатися Windows Encrypted FiIe System (EFS). Користувачі Мас OS Х Tiger – FileVault. З мінусів шифрування можна відзначити, що воно вимагає ресурсів процесора, а це може суттєво уповільнити роботу з файлами.

Висновок.

Безумовно, бездротові мережі додають чимало зручності, але треба розумно підходити до їх захисту. Якщо ви не зробите захист самостійно, ніхто не зробить це за вас. Звичайно, від професійного хакера ви навряд чи захиститеся, але ускладните його роботу. Та й навряд ваша мережа буде цікава професіоналам. А от від численних любителів «нашкодити» ви будете захищені. Так що зважте всі "за" та "проти" і захистіть свою мережу!