Основы безопасности Wi-Fi


1. Краткое описание:
Данная статья о безопасности в беспроводных сетях дает некоторые практические советы и рекомендации по настройке и поддержке безопасной Wi-Fi сети.


2. Вступление:
Беспроводные сети становятся все более распространенными, и оборудование для поддержки беспроводных соединений поставляется практически с любым продаваемым сегодня переносным компьютером.

Быть на связи и быть мобильным – это огромное преимущество как для бизнеса, так и для персонального использования Интернета. Вам больше не нужно постоянно находиться в одном месте, путаться в проводах, когда вы хотите выйти в сеть.

Беспроводные "точки доступа" в аэропортах и отелях – сегодня обычное явление, и многие компактные устройства оборудованы Wi-Fi-модулями, позволяющими получить доступ в Интернет на ходу.

Радиосигнал проходит через стены, полы и другие физические преграды, так что вы можете наслаждаться богатством информации в Интернете и нежиться на солнышке, в то время как ваш беспроводной маршрутизатор отправляет Интернет-сигнал на каждый компьютер в вашем доме.

Но, конечно, вся эта свобода сопровождается предостережением: возрастает необходимость быть в курсе угроз безопасности в Интернете и принимать дополнительные меры для защиты ваших беспроводных соединений.


3. Безопасный публичный беспроводной доступ:
Давайте начнем с утверждения, что беспроводные сети более подвержены взлому и перехвату пересылаемых данных, чем традиционные (Ethernet) – из-за присущей им слабости радиосигнала.

Атакующий должен быть физически подсоединен к проводной сети, чтобы иметь возможность перехватывать или контролировать передаваемые данные, в то время как все, что нужно, чтобы проникнуть в беспроводную сеть – это быть в зоне действия сигнала.

Публичные точки доступа представляют большой риск, т.к. данные могут проходить через них в незашифрованой форме, что делает их доступными для хакеров.

Будучи вооруженным соответствующими инструментами, хакер может с легкостью "прослушивать" пакеты данных, пересобирать их и извлекать из них конфиденциальную информацию, такую как пароли учетных записей почты, чат-сессии служб мгновенных сообщений и другие незашифрованные данные, которые неизбежно покидают ваш компьютер при соединении с различными авторизационными серверами в сети.

Помочь снизить угрозу безопасности незашифрованных соединений может метод, называемый VPN-туннелированием, однако он лежит за пределами данной статьи.

Итак, что может сделать владелец компьютера, оснащенного беспроводным доступом, чтобы обеспечить безопасный доступ в публичных местах?

Во-первых, важно помнить об обновлении вашего программного обеспечения: устанавливайте все последние обновления к системе и приложениям и проверяйте веб-сайт производителя вашего беспроводного адаптера на предмет последних драйверов и обновлений прошивок.

Далее, выключите службу общего доступа к файлам и принтерам для всех публичных сетей, к которым вы подсоединяетесь. Это ограничит доступ к общим ресурсам вашего компьютера через ненадежные WLAN-соединения (wireless LAN), в то же время позволит пользоваться Интернетом.

Конечно, вам придется установить брандмауэр, такой как Outpost Firewall Pro, чтобы защитить ваши соединения от атак типа “man-in-the-middle”, когда злоумышленники пытаются установить ложную точку доступа и заставить вас подсоединиться к ней или перехватывают передаваемые пакеты данных с помощью упомянутых выше методов прослушивания.

Теперь настройте ПО вашего беспроводного адаптера или Мастер беспроводного подключения (Wireless Network Setup Wizard) в Windows так, чтобы исключить автоматическое подключение к вновь обнаруженным беспроводным сетям.

Если в месте вашего нахождения существует несколько беспроводных сетей, создайте список сетей в порядке снижения уровня их надежности. Убедитесь, что вы выключили беспроводной адаптер ноутбука, если вы не используете Интернет.

Постоянно проверяйте список доступных беспроводных сетей во время перемещения – какие из них активны и каким оператором поддерживаются. Где это возможно, подключайтесь к сети, которая поддерживается учреждением, в котором вы находитесь (например, отелем, информационным стендом аэропорта, кафе).

Важно также помнить о том, что никогда не стоит вводить пароли или иные конфиденциальные данные, если вы подключены к беспроводной сети, незащищенной WPA2-шифрованием. Не делайте этого для получения или отправления почты, открытия страниц, загружаемых не по протоколу HTTPS, проведения финансовых операций.

Обычная работа в сети, просмотр прогноза погоды и спортивных результатов или чтение последних новостей, возможно, не представляют большой опасности, но любая активность, требующая персональной идентификации, не должна осуществляться в незащищенной сессии браузера.

Еще один важный момент: два беспроводных устройства могут соединиться друг с другом напрямую для произвольного объединения в сеть посредством радиоволн. Конфигурации некоторых беспроводных адаптеров позволяют устанавливать подобное соединение автоматически, без ведома пользователя. Убедитесь, что ваша система не настроена на работу именно так.


4. Создание персональной Wi-Fi сети и безопасное подключение к ней:
Шифрование в беспроводных сетях – ключ к безопасности данных. Чтобы создать вашу собственную безопасную беспроводную сеть, вам понадобится маршрутизатор или точка доступа с поддержкой WPA2-шифрования. И даже в этом случае вам придется указать пароль, который сможет устоять против прямого подбора по словарю.

Более слабые алгоритмы шифрования, такие как WPA (с коротким ключом) или WEP, могут быть взломаны в течение нескольких минут, поэтому мы настоятельно рекомендуем использовать WPA2-шифрование. Некоторые маршрутизаторы способны поддерживать WPA2 после обновления их прошивки.

Другой путь к улучшению безопасности беспроводной сети состоит в изменении учетной записи по умолчанию для удаленного доступа к странице настройки вашей точки доступа. Если ваше устройство использует стандартную комбинацию имени пользователя и пароля "Admin"/"Admin", установленную на фабрике, поменяйте их как только предоставится возможность, на нечто более уникальное и непонятное.

Это предотвратит потенциальные попытки изменения настроек безопасности вашего маршрутизатора и получение атакующим доступа к вашей персональной сети с использованием его собственной учетной записи.

Другие рекомендуемые меры предосторожности:
=> Указывайте уникальный SSID (идентификатор точки доступа) вашей сети – это имя сети, которое транслируется и является видимым для всех, кто осуществляет поиск доступных беспроводных сетей. Будьте осторожны при передаче WPA2-ключа вашим доверенным лицам, которые будут подключаться к вашей сети (клиентам сети), или вручную настройте их доступ и проинструктируйте их, чтобы они подключались только под указанным именем.

=> Отслеживайте появление новых точек доступа в вашем районе и напоминайте вашим мобильным пользователям об опасностях подключения к недоверенным или вредоносным точкам доступа. С их помощью хакеры могут перехватывать трафик от и к клиентам и даже захватить проводную сеть, если клиент одновременно подключен к проводной сети (Ethernet LAN).

=> Включите фильтрацию IP и MAC адресов на вашем маршрутизаторе. Фильтрация MAC-адресов позволяет вручную добавить сетевые адаптеры с указанными аппаратными идентификаторами в белый список, чтобы никакое устройство с несовпадающим идентификатором не получило доступ в сеть. Фильтрация IP-адресов использует такой же принцип – получить доступ смогут лишь клиенты с указанными доверенными IP-адресами, но это потребует выключения DHCP-сервера в конфигурации вашего маршрутизатора и назначения разрешенных IP-адресов вручную. Также вам может показаться полезным ограничить число клиентов, подключающихся к сети (ограничив, по необходимости, количество узлов в подсети) и указать временные интервалы, во время которых маршрутизатор будет разрешать подключение к сети (доступно лишь в некоторых устройствах).

=> Ограничьте широковещательный диапазон точки доступа таким образом, чтобы она была доступна только на определенном расстоянии; сигнал будет подавляться при достижении этого предела. Эта возможность доступна только в некоторых устройствах.

=> Подумайте о том, чтобы скрыть SSID – эта возможность доступна на странице настройки маршрутизатора - ваша сеть не будет отображаться в списке доступных сетей при осуществлении клиентами поиска сетей. Все ранее произведенные на клиенте настройки будут запомнены и компьютеры, которые уже были объединены в сеть с этим идентификатором SSID, будут продолжать обнаруживать эту точку доступа.


5. Заключение
Беспроводные сети расширяют границы мобильности и доступа в Интернет, что может быть полезным во многих ситуациях. К сожалению, большинство из них не защищены должным образом настройками по умолчанию и требуют дополнительных усилий со стороны пользователя для обеспечения их безопасности.

Если вы будете следовать приведенным в статье советам, вы сможете быть уверенными в безопасности ваших беспроводных соединений.

Обновлено: 11.03.2015