Рассмотрим беспроводную сеть с точкой доступа, реализованная по любому коммерческому стандарту 802.11 (a, b, g, i), кроме 802.1х. Вне зависимости от количества точек доступа беспроводной сетевой сегмент идентифицируется единственным идентификатором ( SSID ). Существуют три встроенных механизма безопасности для защиты беспроводных сетей: проверка подлинности, шифрование , WPA .
Подлинность проверяется двумя механизмами: открытой проверкой (на точке доступа задаются ограничения MAC-адресов беспроводных сетевых устройств), закрытым ключом (пользователям беспроводной сети сообщается пароль , который они вводят вручную при установке соединения).
Шифрование в беспроводных сетях осуществляется по алгоритму RC4 . Шифрование поддерживает два вида ключей: глобальный и сеансовый . Глобальный ключ применяется для защиты группового и широковещательного исходящего трафика точки доступа, а сеансовый ключ – для одноадресного исходящего трафика точки доступа, а также группового и широковещательного входящего трафика точки доступа. Оба типа ключей распространяются между клиентами сети и вводятся вручную.
WPA обеспечивает улучшенное шифрование по протоколу TKIP , который контролирует и целостность данных . Проверка подлинности проверяется протоколом IAP .
Через беспроводные сети могут осуществляться следующие виды атак:
- перехват трафика,
- взлом адресов протокола ARP,
- атаки вирусов, попавших в сеть с компьютера взломщика,
- перенаправления (в данном случае осуществляется взлом на уровне SSL. Взломщик подделывает MAC-адрес точки доступа и направляет пользователю запрос на прием удостоверений нового сервера, подконтрольного ему.),
- несанкционированные подключения (к любой беспроводной сети можно подключить, приблизившись на достаточное расстояние. При использовании открытой системы идентификации любой может получить доступ к корпоративной сети.),
- подключение несанкционированных точек доступа (пользователи могут сами установить необходимое оборудование, не включив на нем защитных механизмов), перегрузка сети (атака типа DoS),
- радиопомехи.
Чтобы усилить защиту беспроводной сети следует:
- изменить заводской SSID,
- отключить широковещательную рассылку SSID,
- необходимо использовать шифрование с уникальными ключами,
- защитить протокол SSNP (изменить сообщество для этого протокола, заданное по умолчанию, продумать защиту от PROTOS),
- использовать фильтрацию MAC-адресов, установив в списке допустимых беспроводных клиентов,
- совместно со службой безопасности предприятия нужно бороться с установкой несанкционированных точек доступа (необходимо проверять какое оборудование вносят на предприятие и обнаруживать точки доступа с помощью SSNP-агентов.
Безусловно необходимо уделить внимание выбору и установке антенн у точек доступа. По возможности нужно использовать антенны направленного действия или передатчики с малым радиусом действия, чтобы не расширять территориальных границ беспроводной сети. Целесообразно считать точку доступа частью демилитаризованной зоны или сети, не пользующейся доверием. Поэтому рекомендуется отделять точки доступа от проводных сетей брандмауэром.
Качественным скачком в безопасности беспроводных сетей является стандарт 802.1х. Он позволяет использовать максимально безопасную проверку подлинности беспроводных клиентов и осуществлять безопасную шифрованную передачу данных. В этом стандарте для шифрования используются динамические ключи, которые не нужно устанавливать вручную. Однако для внедрения данного стандарта необходимо три вещи:
- для аутентификации клиентов беспроводной сети необходимо настраивать RADIUS-сервер со специальной политикой удаленного доступа для беспроводных сетей;
- в организации должна быть внедрена система Открытых ключей, т.к. для проверки подлинности стандарт 802.1х использует протокол EAP-TLS;
- точку доступа можно организовать только под WS2003, а беспроводные клиенты должны управляться Windows XP SP1 или выше.
Таким образом, внедрение RADIUS-сервера может потребовать коренного изменения топологии корпоративной сети. Внедрение системы Открытых ключей потребует либо развертывание собственной иерархии центров сертификации, или приобретение сертификатов у сторонних фирм. Внедрение стандарта 802.1х обеспечивает максимальный уровень защиты беспроводной сети, но требует большой административной настройки и финансовых затрат.
Эта статья посвящена вопросу безопасности при использовании беспроводных сетей WiFi.
Введение - уязвимости WiFi
Главная причина уязвимости пользовательских данных, когда эти данные передаются через сети WiFi, заключается в том, что обмен происходит по радиоволне. А это дает возможность перехвата сообщений в любой точке, где физически доступен сигнал WiFi. Упрощенно говоря, если сигнал точки доступа можно уловить на дистанции 50 метров, то перехват всего сетевого трафика этой WiFi сети возможен в радиусе 50 метров от точки доступа. В соседнем помещении, на другом этаже здания, на улице.
Представьте такую картину. В офисе локальная сеть построена через WiFi. Сигнал точки доступа этого офиса ловится за пределами здания, например на автостоянке. Злоумышленник, за пределами здания, может получить доступ к офисной сети, то есть незаметно для владельцев этой сети. К сетям WiFi можно получить доступ легко и незаметно. Технически значительно легче, чем к проводным сетям.
Да. На сегодняшний день разработаны и внедрены средства защиты WiFi сетей. Такая защита основана на шифровании всего трафика между точкой доступа и конечным устройством, которое подключено к ней. То есть радиосигнал перехватить злоумышленник может, но для него это будет просто цифровой "мусор".
Как работает защита WiFi?
Точка доступа, включает в свою WiFi сеть только то устройство, которое пришлет правильный (указанный в настройках точки доступа) пароль. При этом пароль тоже пересылается зашифрованным, в виде хэша. Хэш это результат необратимого шифрования. То есть данные, которые переведены в хэш, расшифровать нельзя. Если злоумышленник перехватит хеш пароля он не сможет получить пароль.
Но каким образом точка доступа узнает правильный указан пароль или нет? Если она тоже получает хеш, а расшифровать его не может? Все просто - в настройках точки доступа пароль указан в чистом виде. Программа авторизации берет чистый пароль, создает из него хеш и затем сравнивает этот хеш с полученным от клиента. Если хеши совпадают значит у клиента пароль верный. Здесь используется вторая особенность хешей - они уникальны. Одинаковый хеш нельзя получить из двух разных наборов данных (паролей). Если два хеша совпадают, значит они оба созданы из одинакового набора данных.
Кстати. Благодаря этой особенности хеши используются для контроля целостности данных. Если два хеша (созданные с промежутком времени) совпадают, значит исходные данные (за этот промежуток времени) не были изменены.
Тем, не менее, не смотря на то, что наиболее современный метод защиты WiFi сети (WPA2) надежен, эта сеть может быть взломана. Каким образом?
Есть две методики доступа к сети под защитой WPA2:
- Подбор пароля по базе паролей (так называемый перебор по словарю).
- Использование уязвимости в функции WPS.
В первом случае злоумышленник перехватывает хеш пароля к точке доступа. Затем по базе данных, в которой записаны тысячи, или миллионы слов, выполняется сравнение хешей. Из словаря берется слово, генерируется хеш для этого слова и затем этот хеш сравнивается с тем хешем который был перехвачен. Если на точке доступа используется примитивный пароль, тогда взлом пароля, этой точки доступа, вопрос времени. Например пароль из 8 цифр (длина 8 символов это минимальная длина пароля для WPA2) это один миллион комбинаций. На современном компьютере сделать перебор одного миллиона значений можно за несколько дней или даже часов.
Во втором случае используется уязвимость в первых версиях функции WPS. Эта функция позволяет подключить к точке доступа устройство, на котором нельзя ввести пароль, например принтер. При использовании этой функции, устройство и точка доступа обмениваются цифровым кодом и если устройство пришлет правильный код, точка доступа авторизует клиента. В этой функции была уязвимость - код был из 8 цифр, но уникальность проверялась только четырьмя из них! То есть для взлома WPS нужно сделать перебор всех значений которые дают 4 цифры. В результате взлом точки доступа через WPS может быть выполнен буквально за несколько часов, на любом, самом слабом устройстве.
Настройка защиты сети WiFi
Безопасность сети WiFi определяется настройками точки доступа. Несколько этих настроек прямо влияют на безопасность сети.
Режим доступа к сети WiFi
Точка доступа может работать в одном из двух режимов - открытом или защищенном. В случае открытого доступа, подключиться к точке досутпа может любое устройство. В случае защищенного доступа подключается только то устройство, которое передаст правильный пароль доступа.
Существует три типа (стандарта) защиты WiFi сетей:
- WEP (Wired Equivalent Privacy) . Самый первый стандарт защиты. Сегодня фактически не обеспечивает защиту, поскольку взламывается очень легко благодаря слабости механизмов защиты.
- WPA (Wi-Fi Protected Access) . Хронологически второй стандарт защиты. На момент создания и ввода в эксплуатацию обеспечивал эффективную защиту WiFi сетей. Но в конце нулевых годов были найдены возможности для взлома защиты WPA через уязвимости в механизмах защиты.
- WPA2 (Wi-Fi Protected Access) . Последний стандарт защиты. Обеспечивает надежную защиту при соблюдении определенных правил. На сегодняшний день известны только два способа взлома защиты WPA2. Перебор пароля по словарю и обходной путь, через службу WPS.
Таким образом, для обеспечения безопасности сети WiFi необходимо выбирать тип защиты WPA2. Однако не все клиентские устройства могут его поддерживать. Например Windows XP SP2 поддерживает только WPA.
Помимо выбора стандарта WPA2 необходимы дополнительные условия:
Использовать метод шифрования AES.
Пароль для доступа к сети WiFi необходимо составлять следующим образом:
- Используйте буквы и цифры в пароле. Произвольный набор букв и цифр. Либо очень редкое, значимое только для вас, слово или фразу.
- Не используйте простые пароли вроде имя + дата рождения, или какое-то слово + несколько цифр, например lena1991 или dom12345 .
- Если необходимо использовать только цифровой пароль, тогда его длина должна быть не менее 10 символов. Потому что восьмисимвольный цифровой пароль подбирается методом перебора за реальное время (от нескольких часов до нескольких дней, в зависимости от мощности компьютера).
Если вы будете использовать сложные пароли, в соответствии с этими правилами, то вашу WiFi сеть нельзя будет взломать методом подбора пароля по словарю. Например, для пароля вида 5Fb9pE2a (произвольный буквенно-цифровой), максимально возможно 218340105584896 комбинаций. Сегодня это практически невозможно для подбора. Даже если компьютер будет сравнивать 1 000 000 (миллион) слов в секунду, ему потребуется почти 7 лет для перебора всех значений.
WPS (Wi-Fi Protected Setup)
Если точка доступа имеет функцию WPS (Wi-Fi Protected Setup), нужно отключить ее. Если эта функция необходима, нужно убедиться что ее версия обновлена до следующих возможностей:
- Использование всех 8 символов пинкода вместо 4-х, как это было вначале.
- Включение задержки после нескольких попыток передачи неправильного пинкода со стороны клиента.
Дополнительная возможность улучшить защиту WPS это использование цифробуквенного пинкода.
Безопасность общественных сетей WiFi
Сегодня модно пользоваться Интернет через WiFi сети в общественных местах - в кафе, ресторанах, торговых центрах и т.п. Важно понимать, что использование таких сетей может привести к краже ваших персональных данных. Если вы входите в Интернет через такую сеть и затем выполняете авторизацию на каком-либо сайта, то ваши данные (логин и пароль) могут быть перехвачены другим человеком, который подключен к этой же сети WiFi. Ведь на любом устройстве которое прошло авторизацию и подключено к точке доступа, можно перехватывать сетевой трафик со всех остальных устройств этой сети. А особенность общественных сетей WiFi в том, что к ней может подключиться любой желающий, в том числе злоумышленник, причем не только к открытой сети, но и к защищенной.
Что можно сделать для защиты своих данных, при подключении к Интерне через общественную WiFi сеть? Есть только одна возможность - использовать протокол HTTPS. В рамках этого протокола устанавливается зашифрованное соединение между клиентом (браузером) и сайтом. Но не все сайты поддерживают протокол HTTPS. Адреса на сайте, который поддерживает протокол HTTPS, начинаются с префикса https://. Если адреса на сайте имеют префикс http:// это означает что на сайте нет поддержки HTTPS или она не используется.
Некоторые сайты по умолчанию не используют HTTPS, но имеют этот протокол и его можно использовать если явным образом (вручную) указать префикс https://.
Что касается других случаев использования Интернет - чаты, скайп и т.д, то для защиты этих данных можно использовать бесплатные или платные серверы VPN. То есть сначала подключаться к серверу VPN, а уже затем использовать чат или открытый сайт.
Защита пароля WiFi
Во второй и третьей частях этой статьи я писал, о том, что в случае использования стандарта защиты WPA2, один из путей взлома WiFi сети заключается в подборе пароля по словарю. Но для злоумышленника есть еще одна возможность получить пароль к вашей WiFi сети. Если вы храните ваш пароль на стикере приклеенном к монитору, это дает возможность увидеть этот пароль постороннему человеку. А еще ваш пароль может быть украден с компьютера который подключен к вашей WiFi сети. Это может сделать посторонний человек, в том случае если ваши компьютеры не защищены от доступа посторонних. Это можно сделать при помощи вредоносной программы. Кроме того пароль можно украсть и с устройства которое выносится за пределы офиса (дома, квартиры) - со смартфона, планшета.
Таким образом, если вам нужна надежная защита вашей WiFi сети, необходимо принимать меры и для надежного хранения пароля. Защищать его от доступа посторонних лиц.
Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .
Даже небольшая сумма может помочь написанию новых статей:)
Что в наше время может быть важнее, чем защита своей домашней Wi-Fi сети 🙂 Это очень популярная тема, на которую уже только на этом сайте написана не одна статья. Я решил собрать всю необходимую информацию по этой теме на одной странице. Сейчас мы подробно разберемся в вопросе защиты Wi-Fi сети. Расскажу и покажу, как защитить Wi-Fi паролем, как правильно это сделать на роутерах разных производителей, какой метод шифрования выбрать, как подобрать пароль, и что нужно знать, если вы задумали сменить пароль беспроводной сети.
В этой статье мы поговорим именно о защите домашней беспроводной сети . И о защите только паролем. Если рассматривать безопасность каких-то крупных сетей в офисах, то там к безопасности лучше подходить немного иначе (как минимум, другой режим аутентификации) . Если вы думаете, что одного пароля мало для защиты Wi-Fi сети, то я бы советовал вам не заморачиваться. Установите хороший, сложный пароль по этой инструкции, и не беспокойтесь. Вряд ли кто-то будет тратить время и силы, что бы взломать вашу сеть. Да, можно еще например скрыть имя сети (SSID), и установить фильтрацию по MAC-адресам, но это лишние заморочки, которые в реальности будут только приносить неудобства при подключении и использовании беспроводной сети.
Если вы думаете о том, защищать свой Wi-Fi, или оставить сеть открытой, то решение здесь может быть только одним – защищать. Да, интернет безлимитный, да практически у все дома установлен свой роутер, но к вашей сети со временем все ровно кто-то подключится. А для чего нам это, ведь лишние клиенты, это лишняя нагрузка на роутер. И если он у вас не дорогой, то этой нагрузки он просто не выдержит. А еще, если кто-то подключится к вашей сети, то он сможет получить доступ к вашим файлам (если настроена локальная сеть) , и доступ к настройкам вашего роутера (ведь стандартный пароль admin, который защищает панель управления, вы скорее всего не сменили) .
Обязательно защищайте свою Wi-Fi сеть хорошим паролем с правильным (современным) методом шифрования. Устанавливать защиту я советую сразу при настройке маршрутизатора. А еще, не плохо бы время от времени менять пароль.
Если вы переживаете, что вашу сеть кто-то взломает, или уже это сделал, то просто смените пароль, и живите спокойно. Кстати, так как вы все ровно будете заходит в панель управления своего роутера, я бы еще советовал , который используется для входа в настройки маршрутизатора.
Правильная защита домашней Wi-Fi сети: какой метод шифрования выбрать?
В процессе установки пароля, вам нужно будет выбрать метод шифрования Wi-Fi сети (метод проверки подлинности) . Я рекомендую устанавливать только WPA2 - Personal , с шифрованием по алгоритму AES . Для домашней сети, это лучшее решения, на данный момент самое новое и надежное. Именно такую защиту рекомендуют устанавливать производители маршрутизаторов.
Только при одном условии, что у вас нет старых устройств, которые вы захотите подключить к Wi-Fi. Если после настройки у вас какие-то старые устройства откажутся подключатся к беспроводной сети, то можно установить протокол WPA (с алгоритмом шифрования TKIP) . Не советую устанавливать протокол WEP, так как он уже устаревший, не безопасный и его легко можно взломать. Да и могут появится проблемы с подключением новых устройств.
Сочетание протокола WPA2 - Personal с шифрованием по алгоритму AES , это оптимальный вариант для домашней сети. Сам ключ (пароль) , должен быть минимум 8 символов. Пароль должен состоять из английских букв, цифр и символов. Пароль чувствителен к регистру букв. То есть, "111AA111" и "111aa111" – это разные пароли.
Я не знаю, какой у вас роутер, поэтому, подготовлю небольшие инструкции для самых популярных производителей.
Если после смены, или установки пароля у вас появились проблемы с подключением устройств к беспроводной сети, то смотрите рекомендации в конце этой статьи.
Советую сразу записать пароль, который вы будете устанавливать. Если вы его забудете, то придется устанавливать новый, или .
Защищаем Wi-Fi паролем на роутерах Tp-Link
Подключаемся к роутеру (по кабелю, или по Wi-Fi) , запускаем любой браузер и открываем адрес 192.168.1.1, или 192.168.0.1 (адрес для вашего роутера, а так же стандартные имя пользователя и пароль указаны на наклейке снизу самого устройства) . Укажите имя пользователя и пароль. По умолчанию, это admin и admin. В , я подробнее описывал вход в настройки.
В настройках перейдите на вкладку Wireless (Беспроводной режим) - Wireless Security (Защита беспроводного режима). Установите метку возле метода защиты WPA/WPA2 - Personal(Recommended) . В выпадающем меню Version (версия) выберите WPA2-PSK . В меню Encryption (шифрование) установите AES . В поле Wireless Password (Пароль PSK) укажите пароль, для защиты своей сети.
Установка пароля на роутерах Asus
В настройках нам нужно открыть вкладку Беспроводная сеть , и выполнить такие настройки:
- В выпадающем меню "Метод проверки подлинности" выбираем WPA2 - Personal.
- "Шифрование WPA" - устанавливаем AES.
- В поле "Предварительный ключ WPA" записываем пароль для нашей сети.
Для сохранения настроек нажмите на кнопку Применить .
Подключите свои устройства к сети уже с новым паролем.
Защищаем беспроводную сеть роутера D-Link
Зайдите в настройки своего роутера D-Link по адресу 192.168.0.1. Можете смотреть подробную инструкцию . В настройках откройте вкладку Wi-Fi - Настройки безопасности . Установите тип безопасности и пароль, как на скриншоте ниже.
Установка пароля на других маршрутизаторах
У нас есть еще подробные инструкции для роутеров ZyXEL и Tenda. Смотрите по ссылкам:
Если вы не нашли инструкции для своего роутера, то настроить защиту Wi-Fi сети вы сможете в панели управления своим маршрутизатором, в разделе настроек, который называется: настройки безопасности, беспроводная сеть, Wi-Fi, Wireless и т. д. Найти я думаю будет не сложно. А какие настройки устанавливать, я думаю вы уже знаете: WPA2 - Personal и шифрование AES. Ну и ключ.
Если не сможете разобраться, спрашивайте в комментариях.
Что делать, если устройства не подключаются после установки, смены пароля?
Очень часто, после установки, а особенно смены пароля, устройства которые раньше были подключены к вашей сети, не хотят к ней подключатся. На компьютерах, это как правило ошибки "Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети" и "Windows не удалось подключится к…". На планшетах, и смартфонах (Android, iOS) так же могут появляться ошибки типа "Не удалось подключится к сети", "Подключено, защищено" и т. д.
Решаются эти проблемы простым удалением беспроводной сети, и повторным подключением, уже с новым паролем. Как удалить сеть в Windows 7, я писал . Если у вас Windows 10, то нужно "забыть сеть" по . На мобильных устройствах нажмите на свою сеть, подержите, и выберите "Удалить" .
Если проблемы с подключением наблюдаются на старых устройствах, то установите в настройках роутера протокол защиты WPA, и шифрование TKIP.
Защита беспроводной сети
Беспроводные сети широко применяются в компаниях любого масштаба. Благодаря низкой цене и простоте развертывания беспроводные сети могут иметь преимущество перед проводными на малых и средних предприятиях. В крупных учреждениях беспроводные сети обеспечивают сетевые соединения, необходимые для делового общения сотрудников в рабочих помещениях или комнатах отдыха.
Чтобы можно было воспользоваться преимуществами беспроводных сетей, их необходимо защитить. Незащищенные беспроводные сети открывают практически неограниченный доступ к корпоративной сети для хакеров и других злоумышленников, которые нередко стремятся лишь получить бесплатный доступ в Internet. В крупных учреждениях иногда существуют несанкционированные беспроводные сети - члены рабочих групп или конечные пользователи подчас игнорируют корпоративную политику и устанавливают точки доступа (Access Points, AP), и это таит в себе большую опасность для предприятия. Опытные спамеры и мошенники используют незащищенные беспроводные сети для массовой рассылки сообщений электронной почты. Они разъезжают по городам и промышленным зонам в поисках уязвимых беспроводных сетей, а когда находят, настраивают свои мобильные компьютеры для подключения к сети, получают через DHCP действительный IP-адрес, DNS и стандартную информацию о шлюзе, а затем передают свои сообщения. Пользователям таких продуктов, как NetStumbler, или встроенного инструментария управления беспроводной сетью, имеющегося в большинстве ноутбуков и PDA, вероятно, приходилось обнаруживать незащищенные беспроводные сети в своих жилых районах, по соседству или внутри своего предприятия.
Владельцы незащищенных сетей должны быть готовы и к снижению пропускной способности Internet-соединения, и к проникновению вирусов и червей, и даже к несению уголовной или гражданской ответственности за использование незащищенных сетей для осуществления атак против третьих лиц. В данной статье рассматриваются практические меры, которые можно предпринять для защиты беспроводных сетей, методы автоматизированного развертывания параметров и инструменты для анализа незащищенных и неавторизованных беспроводных сетей.
Основы беспроводных сетей
Прежде чем приступать к защите беспроводной сети, необходимо понять основные принципы ее организации. Как правило, беспроводные сети состоят из узлов доступа и клиентов с беспроводными адаптерами. Узлы доступа и беспроводные адаптеры оснащаются приемопередатчиками для обмена данными друг с другом. Каждому AP и беспроводному адаптеру назначается 48-разрядный адрес MAC, который функционально эквивалентен адресу Ethernet. Узлы доступа связывают беспроводные и проводные сети, обеспечивая беспроводным клиентам доступ к проводным сетям. Связь между беспроводными клиентами в одноранговых сетях возможна без AP, но этот метод редко применяется в учреждениях. Каждая беспроводная сеть идентифицируется назначаемым администратором идентификатором SSID (Service Set Identifier). Связь беспроводных клиентов с AP возможна, если они распознают SSID узла доступа. Если в беспроводной сети имеется несколько узлов доступа с одним SSID (и одинаковыми параметрами аутентификации и шифрования), то возможно переключение между ними мобильных беспроводных клиентов.
Наиболее распространенные беспроводные стандарты - 802.11 и его усовершенствованные варианты. В спецификации 802.11 определены характеристики сети, работающей со скоростями до 2 Мбит/с. В усовершенствованных вариантах предусмотрены более высокие скорости. Первый, 802.11b, распространен наиболее широко, но быстро замещается стандартом 802.11g. Беспроводные сети 802.11b работают в 2,4-ГГц диапазоне и обеспечивают скорость передачи данных до 11 Мбит/с. Усовершенствованный вариант, 802.11a, был ратифицирован раньше, чем 802.11b, но появился на рынке позднее. Устройства этого стандарта работают в диапазоне 5,8 ГГц с типовой скоростью 54 Мбит/с, но некоторые поставщики предлагают более высокие скорости, до 108 Мбит/с, в турборежиме. Третий, усовершенствованный вариант, 802.11g, работает в диапазоне 2,4 ГГц, как и 802.11b, со стандартной скоростью 54 Мбит/с и с более высокой (до 108 Мбит/с) в турборежиме. Большинство беспроводных сетей 802.11g способно работать с клиентами 802.11b благодаря обратной совместимости, заложенной в стандарте 802.11g, но практическая совместимость зависит от конкретной реализации поставщика. Основная часть современного беспроводного оборудования поддерживает два или более вариантов 802.11. Новый беспроводной стандарт, 802.16, именуемый WiMAX, проектируется с конкретной целью обеспечить беспроводной доступ для предприятий и жилых домов через станции, аналогичные станциям сотовой связи. Эта технология в данной статье не рассматривается.
Реальная дальность связи AP зависит от многих факторов, в том числе варианта 802.11 и рабочей частоты оборудования, изготовителя, мощности, антенны, внешних и внутренних стен и особенностей топологии сети. Однако беспроводной адаптер с узконаправленной антенной с большим коэффициентом усиления может обеспечить связь с AP и беспроводной сетью на значительном расстоянии, примерно до полутора километров в зависимости от условий.
Из-за общедоступного характера радиоспектра возникают уникальные проблемы с безопасностью, отсутствующие в проводных сетях. Например, чтобы подслушивать сообщения в проводной сети, необходим физический доступ к такому сетевому компоненту, как точка подсоединения устройства к локальной сети, коммутатор, маршрутизатор, брандмауэр или хост-компьютер. Для беспроводной сети нужен только приемник, такой как обычный сканер частот. Из-за открытости беспроводных сетей разработчики стандарта подготовили спецификацию Wired Equivalent Privacy (WEP), но сделали ее использование необязательным. В WEP применяется общий ключ, известный беспроводным клиентам и узлам доступа, с которыми они обмениваются информацией. Ключ можно использовать как для аутентификации, так и для шифрования. В WEP применяется алгоритм шифрования RC4. 64-разрядный ключ состоит из 40 разрядов, определяемых пользователем, и 24-разрядного вектора инициализации. Пытаясь повысить безопасность беспроводных сетей, некоторые изготовители оборудования разработали расширенные алгоритмы со 128-разрядными и более длинными ключами WEP, состоящими из 104-разрядной и более длинной пользовательской части и вектора инициализации. WEP применяется с 802.11a, 802.11b- и 802.11g-совместимым оборудованием. Однако, несмотря на увеличенную длину ключа, изъяны WEP (в частности, слабые механизмы аутентификации и ключи шифрования, которые можно раскрыть методами криптоанализа) хорошо документированы, и сегодня WEP не считается надежным алгоритмом.
В ответ на недостатки WEP отраслевая ассоциация Wi-Fi Alliance, насчитывающая более 200 членов, среди которых Apple Computer, Cisco Systems, Dell, IBM и Microsoft, приняла решение разработать стандарт Wi-Fi Protected Access (WPA). WPA превосходит WEP благодаря добавлению протокола TKIP (Temporal Key Integrity Protocol) и надежному механизму аутентификации на базе 802.1x и протокола EAP (Extensible Authentication Protocol). Предполагалось, что WPA станет рабочим стандартом, который можно будет представить для одобрения комитету IEEE в качестве расширения для стандартов 802.11. Расширение, 802.11i, было ратифицировано в 2004 г., а WPA обновлен до WPA2 в целях совместимости с Advanced Encryption Standard (AES) вместо WEP и TKIP. WPA2 обратно совместим и может применяться совместно с WPA. WPA был предназначен для сетей предприятий с инфраструктурой аутентификации RADIUS (Remote Authentication Dial-In User Service - служба дистанционной аутентификации пользователей по коммутируемым линиям), но версия WPA, именуемая WPA Pre-Shared Key (WPAPSK), получила поддержку некоторых изготовителей и готовится к применению на небольших предприятиях. Как и WEP, WPAPSK работает с общим ключом, но WPAPSK надежнее WEP.
У многих складывается неверное представление о 802.1x. Стандарт используется для управления доступом к портам в коммутаторах проводных сетей и узлам доступа в AP беспроводных сетей. В 802.1x не задан метод аутентификации (например, можно использовать версию 3 спецификации X.509 или Kerberos) и нет механизма шифрования или обязательного требования шифровать данные.
Три шага к безопасности
Существует три механизма защиты беспроводной сети: настроить клиент и AP на использование одного (не выбираемого по умолчанию) SSID, разрешить AP связь только с клиентами, MAC-адреса которых известны AP, и настроить клиенты на аутентификацию в AP и шифрование трафика. Большинство AP настраиваются на работу с выбираемым по умолчанию SSID, без ведения списка разрешенных MAC-адресов клиентов и с известным общим ключом для аутентификации и шифрования (или вообще без аутентификации и шифрования). Обычно эти параметры документированы в оперативной справочной системе на Web-узле изготовителя. Благодаря этим параметрам неопытный пользователь может без труда организовать беспроводную сеть и начать работать с ней, но одновременно они упрощают хакерам задачу проникновения в сеть. Положение усугубляется тем, что большинство узлов доступа настроено на широковещательную передачу SSID. Поэтому взломщик может отыскать уязвимые сети по стандартным SSID.
Первый шаг к безопасной беспроводной сети - изменить выбираемый по умолчанию SSID узла доступа. Кроме того, следует изменить данный параметр на клиенте, чтобы обеспечить связь с AP. Удобно назначить SSID, имеющий смысл для администратора и пользователей предприятия, но не явно идентифицирующий данную беспроводную сеть среди других SSID, перехватываемых посторонними лицами.
Следующий шаг - при возможности блокировать широковещательную передачу SSID узлом доступа. В результате взломщику становится сложнее (хотя возможность такая сохраняется) обнаружить присутствие беспроводной сети и SSID. В некоторых AP отменить широковещательную передачу SSID нельзя. В таких случаях следует максимально увеличить интервал широковещательной передачи. Кроме того, некоторые клиенты могут устанавливать связь только при условии широковещательной передачи SSID узлом доступа. Таким образом, возможно, придется провести эксперименты с этим параметром, чтобы выбрать режим, подходящий в конкретной ситуации.
После этого можно разрешить обращение к узлам доступа только от беспроводных клиентов с известными MAC-адресами. Такая мера едва ли уместна в крупной организации, но на малом предприятии с небольшим числом беспроводных клиентов это надежная дополнительная линия обороны. Взломщикам потребуется выяснить MAC-адреса, которым разрешено подключаться к AP предприятия, и заменить MAC-адрес собственного беспроводного адаптера разрешенным (в некоторых моделях адаптеров MAC-адрес можно изменить).
Выбор параметров аутентификации и шифрования может оказаться самой сложной операцией защиты беспроводной сети. Прежде чем назначить параметры, необходимо провести инвентаризацию узлов доступа и беспроводных адаптеров, чтобы установить поддерживаемые ими протоколы безопасности, особенно если беспроводная сеть уже организована с использованием разнообразного оборудования от различных поставщиков. Некоторые устройства, особенно старые AP и беспроводные адаптеры, могут быть несовместимы с WPA, WPA2 или ключами WEP увеличенной длины.
Еще одна ситуация, о которой следует помнить, - необходимость ввода пользователями некоторых старых устройств шестнадцатеричного числа, представляющего ключ, а в других старых AP и беспроводных адаптерах требуется ввести фразу-пароль, преобразуемую в ключ. В результате трудно добиться применения одного ключа всем оборудованием. Владельцы подобного оборудования могут использовать такие ресурсы, как WEP Key Generator (), для генерации случайных ключей WEP и преобразования фраз-паролей в шестнадцатеричные числа.
В целом WEP следует применять лишь в случаях крайней необходимости. Если использование WEP обязательно, стоит выбирать ключи максимальной длины и настроить сеть на режим Open вместо Shared. В режиме Open в сети аутентификация клиентов не выполняется, и установить соединение с узлами доступа может каждый. Эти подготовительные соединения частично загружают беспроводной канал связи, но злоумышленники, установившие соединение в AP, не смогут продолжать обмен данными, так как не знают ключа шифрования WEP. Можно блокировать даже предварительные соединения, настроив AP на прием соединений только от известных MAC-адресов. В отличие от Open, в режиме Shared узел доступа использует ключ WEP для аутентификации беспроводных клиентов в процедуре запрос-отклик, и взломщик может расшифровать последовательность и определить ключ шифрования WEP.
Если можно применить WPA, то необходимо выбрать между WPA, WPA2 и WPA-PSK. Главным фактором при выборе WPA или WPA2, с одной стороны, и WPA-PSK - с другой, является возможность развернуть инфраструктуру, необходимую WPA и WPA2 для аутентификации пользователей. Для WPA и WPA2 требуется развернуть серверы RADIUS и, возможно, Public Key Infrastructure (PKI). WPA-PSK, как и WEP, работает с общим ключом, известным беспроводному клиенту и AP. WPA-PSK можно смело использовать общий ключ WPA-PSK для аутентификации и шифрования, так как ему не присущ недостаток WEP (возможность узнать ключ шифрования методом криптоанализа процедуры аутентификации).
Естественно, в узлах доступа различных поставщиков применяются свои пользовательские интерфейсы и методы настройки конфигурации, поэтому невозможно представить единый список подробных инструкций для всех устройств. Но приведенная выше информация будет полезна при настройке узлов доступа.
Настройка клиента Windows
Windows Server 2003 и Windows XP облегчают настройку клиента для работы в беспроводных сетях, особенно в сетях с WEP. Компания Microsoft организовала службу Wireless Zero Configuration в XP и назвала ее Wireless Configuration service в Windows 2003. Запущенная служба выполняет мониторинг беспроводных адаптеров для приема широковещательных посылок SSID от узлов доступа. Если принята широковещательная передача известного SSID и имеется достаточно информации для конфигурации, то Windows автоматически подключается к сети (если настроена на соединение). Служба беспроводной настройки выдает стандартное диалоговое окно для настройки параметров беспроводной сети независимо от установленного беспроводного адаптера. К сожалению, служба не работает со всеми беспроводными адаптерами; если она не работает с конкретной платой, необходимо блокировать ее и задействовать драйвер и инструментальный комплект для настройки, поставляемый вместе с сетевым адаптером.
Чтобы использовать службу настройки, следует открыть утилиту Network Connections в панели управления, щелкнуть правой кнопкой мыши на значке беспроводного адаптера, выбрать пункт Properties и перейти к вкладке Wireless Networks. Необходимо убедиться, что режим Use Windows to configure my wireless network settings активизирован, и щелкнуть на кнопке Add, чтобы настроить беспроводную сеть. На экране 1 показано диалоговое окно для ввода параметров беспроводной сети. Затем следует ввести SSID для беспроводной сети, с которой нужно установить соединение, выбрать метод для Network Authentication. Если выбрать Open или Shared, то в поле Data encryption можно указать одно из значений - WEP или Disabled. Если выбраны WPA или WPA-PSK, то можно применять алгоритмы шифрования TKIP или AES.
| Экран 1. Настройка беспроводных параметров в XP |
При использовании WPA или WPA-PSK для аутентификации или шифрования можно ввести ключ аутентификации или шифрования (чтобы активизировать поле Network key и поле Confirm network key, требуется отменить режим The key is provided for me automatically). Если существует более одного ключа, следует выбрать номер ключа, или индекс. В некоторых узлах доступа и беспроводных адаптерах можно хранить и использовать до четырех ключей в целях повышения гибкости. Например, ключи можно менять еженедельно, вручную выбирая ключ из списка каждый понедельник утром.
Обнаружение несанкционированных узлов доступа
Как отмечалось выше, ложные узлы доступа могут представлять огромную опасность для предприятия. Но из-за преимуществ и простоты установки AP (особенно если используются выбираемые по умолчанию параметры) очень вероятно, что кто-то в один прекрасный момент установит узел доступа в сети предприятия.
Отыскать несанкционированные узлы доступа может быть сложно, но это необходимо для надежной защиты. В Windows 2003 появилась новая оснастка консоли Microsoft Management Console (MMC), называемая Wireless Network Monitor, с помощью которой можно протоколировать активность сетевых клиентов и находить узлы доступа. Однако устанавливать Windows 2003 в ноутбуках только ради оснастки MMC неудобно, дорого и вообще необязательно. Большинство ноутбуков и PDA со встроенными беспроводными адаптерами располагают инструментарием, пригодным для поиска несанкционированных AP.
Если ноутбук или PDA поставляются без такого инструмента или необходимы передовые функции, например GPS (глобальная система позиционирования в сочетании с двунаправленной антенной и компасом позволяет вычислить методом триангуляции местоположение несанкционированного AP), то предпочтительным может оказаться такой бесплатный инструмент, как NetStumbler. По адресу можно получить две версии: одну для Windows 2000 и более поздних версий и одну для устройств на базе Windows CE, называемую MiniStumbler. На экране 2 показан NetStumbler, работающий на ноутбуке Dell с пакетом XP Service Pack 2 (SP2) и Dell TrueMobile 1400, одним из многих беспроводных адаптеров, совместимых с NetStumbler.
С помощью NetStumbler можно обнаружить несанкционированные AP, просто запустив программу на портативном компьютере и пройдя по территории предприятия с ноутбуком. Обнаруженные узлы доступа отображаются на экране. Таким образом можно получить информацию о MAC-адресе узла доступа, прослушиваемом канале, шифровании и поставщике. Кроме того, NetStumbler показывает отношение сигнал-шум для радиосигнала. Чем выше число, тем меньше расстояние до AP.
Прежде чем удастся обнаружить несанкционированные узлы доступа, необходимо выяснить MAC-адрес и SSID каждого законно установленного AP на предприятии. Развертывая узлы доступа, следует записывать их MAC-адреса, SSID и местоположение. Делая обход с NetStumbler, следует искать узлы доступа с незнакомыми SSID и неизвестными MAC-адресами. Обнаружив незаконные устройства, следует записать их местоположение, затем пройти в разных направлениях и отметить то направление, в котором показатель SNR увеличивается. Если продолжать идти в эту сторону, рано или поздно будет обнаружена AP или по крайней мере очерчена примерная область ее местонахождения для более полного исследования в будущем. Следует учитывать, что AP может находиться на полу или на потолке.
Особенно важно отметить, что опытный хакер может установить AP с таким же SSID, который имеется в сети, в надежде застать врасплох ничего не подозревающих пользователей. Подключившись к несанкционированному AP, пользователи попытаются обратиться к сетевым ресурсам, таким как почтовый сервер и приложения, размещенные в Web. Им не удастся получить доступ к ресурсам через AP взломщика, но пока это выяснится, они могут раскрыть свои пароли и имена. Следует научить сотрудников службы поддержки отслеживать вызовы, связанные с проблемами беспроводной сети, которые могут свидетельствовать о незаконных узлах доступа, и попросить пользователей сообщать об их местонахождении. По поступающим сигналам следует проводить расследование с использованием NetStumbler или других инструментов и проверять MAC-адреса всех AP в этом районе, чтобы убедиться в законности их установки.
Дополнительную информацию о защите беспроводной сети для предприятий любых размеров и даже домашних пользователей можно почерпнуть в превосходной книге Джозефа Дэвиса Deploying Secure 802.11 Wireless Networks with Microsoft Windows (издательство Microsoft Press, 2003). По адресу можно получить сведения о книге и о том, как ее приобрести, а также найти ссылку на дополнительные материалы. Отличный оперативный ресурс - . Данная страница находится в разделе Windows 2003 Web-узла Microsoft, но в ней есть ссылки и на информацию для XP.