Налаштовуємо безпеку бездротової мережі wi-fi

Навіщо налаштовувати безпеку бездротових мереж

Якщо ваш комп'ютер підключений до інтернету, то хакер через відкриту бездротову мережу зможе отримати халявний доступ до глобальної мережі, гальмуючи вашу роботу. Через ваш комп'ютер хакер зможе розсилати СПАМ, проводити атаки на інші захищені системи, ніж сильно ускладнить ваше життя.

Отже, прийшов час налаштовувати безпеку бездротової мережі. Для установки бездротових мереж ми використовували обладнання німецького виробника, компанії Level One. Це обладнання відрізняється тим, що в комплекті з ним поставляються зручні утиліти, що дозволяють користувачеві легко налаштувати всі параметри WLAN. Ну що ж, нагадаємо нашу тестову конфігурацію.

Персональний комп'ютер. Щоб уникнути можливих проблем, ми використовували комп'ютер, зібраний на базі barebone платформи Shuttle SB75G2. стабільної платформи, зарекомендувала себе з кращого боку в плані відсутності перешкод.

Налаштовуємо безпеку бездротової мережі wi-fi

Конфігурація тестового комп'ютера:

В цьому комп'ютері було встановлено 1024 Мб пам'яті DDR400 виробництва компанії OCZ.

Налаштовуємо безпеку бездротової мережі wi-fi

Пам'ять OCZ DDR400 серії PC3200 Titanium має таймінги CL 2-3-2-5 і забезпечує нам максимальну продуктивність (читайте статтю про залежність швидкості комп'ютера від затримок пам'яті).

Ноутбук IRu Novia 3331W Combo. Огляд цього ноутбука ви можете прочитати тут. Цей мобільний комп'ютер, побудований на платформі Centrino, вже має вбудований контроллер Wi-Fi IEEE 802.11g.

Мережева карта Level One WNC-0300

USB контролер Level One WNC-0301USB.

Точка доступу WAP-0004

Крок 1 - міняємо пароль точки доступу

Крок 2 - відключаємо трансляцію ID мережі

У нормальному режимі точка доступу віщає свій мережевий ідентифікатор, щоб будь-хто, хто виконує пошук бездротових мереж, міг її знайти. Це можна порівняти з продавцем на ринку, який кричить "Пиріжки, пиріжки", привертаючи загальну увагу. Якщо ми - не провайдер і нам не треба демонструвати свою бездротову мережу всім бажаючим, ми можемо відключити цю трансляцію. Якщо ми змінимо ідентифікатор нашої мережі, грубо кажучи його ім'я і відключимо мовлення цього імені, то підключитися до нашої мережі зможе тільки той, хто заздалегідь знає це ім'я. Ось вам ще один пароль. Знайти і зламати бездротову мережу після цього стане складніше.

У точці доступу Level One WAP-0004 настройка трансляції ідентифікатора бездротової мережі знаходиться в розділі розширених налаштувань (Advanced Settings). Відключивши трансляцію SSID і зробивши ім'я мережі типу "Hardwareportal_016" ми вже будемо впевнені, що хто даремно нашу мережу не побачить і у юних піонерів не буде бажання випробувати нашу мережу на міцність.

Проста аутентифікація користувачів за паролем "Shared Key" зробить вашу мережу закритою від небажаних користувачів, але не зупинить хакера. Альтернативу звичайної аутентифікації ми розглянемо трохи нижче, коли будемо говорити про WPA-PSK.

Щоб захистити ваші дані по шляху від одного мережевого контролера до іншого, використовується шифрування даних. При шифруванні даних необхідно на кожному комп'ютері і на точках доступу налаштувати протокол шифрування і ключі.

Перший і найбільш простий спосіб шифрування даних - використання WEP протоколу. WEP (Wired Equivalence Privacy) дозволяє домогтися такої ж безпеки, як при використанні дротових мереж. При використанні WEP шифрування, необхідно, щоб на всіх підключених точках використовувалися ідентичні ключі. Чим довше ключ, тим складніше його підібрати. Сучасне бездротове обладнання використовує 64-бітові, 128-бітові та 256-бітові ключі. Точка доступу Level One WAP-0004 дозволяє використовувати 64-бітові та 128-бітові ключі. Налаштування шифрування виробляються в розділі "Basic Settings".

На стороні клієнта для цього може використовуватися програмне забезпечення, що постачається виробником мережевого устаткування або ж сама операційна система. У першому випадку зробити настройки набагато простіше. Тут так само є прапорець - ключ надається при аутентифікації по протоколу 802.1x. Краще його не включати.

Як часто міняти ключі - вибирати, природно вам. Якщо ви вважаєте, що хакер, який витратив близько 100 годин на розшифровку вашого ключа і не добився результату, не піде з горя пити пиво, а продовжить роботу - міняйте щотижня. Якщо ж ваші дані і ваш трафік не становлять великого інтересу - можете взагалі не міняти.

Однак, є спосіб, який не зажадає взагалі від вас введення ніяких ключів. Пристрої, що підтримують протокол 802.11g можуть похвалитися більш прогресивним методом шифрування - WPA (Wi-Fi Protected Access). Цей стандарт об'єднує два методи - TKIP і MIC.

Суть методу шифрування TKIP полягає в тому, що 128-бітові ключі автоматично генеруються при посилці кожних 10 кілобайт даних. Загальна кількість ключів обчислюється сотнями мільярдів. Це означає, що наприклад при передачі MP3-файлу об'ємом 5 мегабайт, його трафік буде зашифровано за використанням 512 ключів, кожен з яких має довжину 13 символів. Така система дає найвищі гарантії від перехоплення і розшифровки даних. Крім того, спеціальний алгоритм MIC (Message Integrity Check) звіряє відправлені і отримані дані, щоб виключити їх зміни в шляху. Хакер більше не зможе вбудувати шкідливі коди в ваші дані на шляху відправки.

Стандартний WPA протокол вимагає установки RADIUS сервера, що не застосовується в домашніх мережах і малих офісах. Простіший режим WPA-PSK підтримує заздалегідь створені ключі (Pre-Shared Keys). Цей ключ, як і ключ в режимі WEP, задається на всіх клієнтських машинах і точки доступу, щоб забезпечити первинну ідентифікацію станцій.

Точка доступу WAP-0004 від Level One дозволяє використовувати метод шифрування трафік WPA-PSK із завданням ключа. Для цього в базових налаштуваннях вибираємо метод аутентифікації: WPA-PSK і задаємо пароль. Точка доступу WAP-0004 дозволяє задавати пароль довжиною від 8 до 34 символів (256-біт) - досить багато, щоб зайняти комп'ютер хакера підбором паролів на кілька найближчих років.

Точка доступу WPA-0004 підтримує шифрування тільки за методом TKIP. Так що вибирати шифрування при установці методу захисту WPA, вже не треба.

На клієнтському комп'ютері так само вибирається вид шифрування TKIP і метод аутентифікації WPA PSK. Після цього в настройках шифрування WPA задається пароль і можна сказати, що бездротове з'єднання захищено від потойбічних сил.

Шифрування WPA-PSK за методом TKIP вважається неприступною стіною для хакерів. Але існує ще більш потужний спосіб захисту: шифрування за методом AES (Advance Encryption Standard), раніше використовуваний в мережах VPN. Ця технологія підтримується не всім сучасним мережевим обладнанням. З недорогого обладнання Level One ця технологія підтримується тільки USB контролером WNC-0301USB. Але не варто пропускати повз і той факт, що до сих пір захист по протоколу WPA була зламана хакерами.

Які додаткові заходи варто вжити будинку або в офісі для захисту бездротової мережі? Перш за все, якщо немає необхідності в зворотному, постаратися знизити радіус дії бездротової мережі. Щоб за стінами вашої квартири або офісу сигнал ловився дуже погано. Тоді хакеру для роботи доведеться максимально наблизитися до вашого офісу або будинку.

Якщо всі клієнтські комп'ютери підключаються до точки доступу, то на них треба заборонити з'єднання по типу ad-hoc, щоб до них не могли підключатися зловмисники, минаючи всі налаштування збереження в таємниці вашої точки доступу. Для цього досить вибрати тип мережі - Infrastructure в налаштуваннях мережевих карт.

Якщо точка доступу дозволяє налаштовувати її по провідному підключенню і відключити бездротову настройку, треба обов'язково зробити це. Встановлення точки доступу через Wi-Fi повинна бути відключена, щоб зловмисник не міг до неї підключитися навіть знаючи пароль доступу.

Установка VPN (Virtual Private Network) ще більше захистить вашу мережу від сторонніх впроваджень.

Перерахованих вище заходів достатньо, щоб захистити домашню або малу офісну мережу, що складається з однієї точки доступу і декількох клієнтських машин від хакерських атак. Або відбити бажання у хакера поживитися інтернетом за ваш рахунок. Давайте наостанок повторимо, що треба зробити з мережею, щоб підвищити її захист.

Використовуйте з'єднання типу Infrastructure, з точкою доступу

Змініть логін і пароль для адміністрування точки доступу

По можливості, налаштовуйте точку доступу через дротове з'єднання і відключіть можливість доступу до налаштувань точки доступу за допомогою бездротової технології

Замість звичайної аутентифікації використовуйте метод WPA-PSK з шифруванням TKIP або EAS.

Обов'язково використовуйте шифрування потоку. Мінімум - WEP, але краще WPA-PSK, WPA TKIP або WPA EAS.

Використовуйте довгі паролі. Мінімум - 128 біт, але краще 256 біт. Паролі повинні включати в себе букви, цифри і спеціальні символи. Не використовуйте звичайні слова зі словника, імена та ін. Навіть зі звичайного слова HardwarePortal можна зробити пароль виду H @ rD \ / \ / @ reP0rT / \ | _.

Ну і наостанок не варто забувати, що міцність ланцюга визначається міцністю найслабшої ланки. Ваша бездротова мережа може бути повністю захищена від стороннього доступу, але провідна частина може, сервер і шлюз може бути не підготовлений до атаки зловмисників. Ваша мережа може бути повністю захищена, але хакер зламає вашу поштову скриньку. Ну і в такому роді. Так само варто мати на увазі, що будь-який замок характеризується часом розтину і не забезпечує 100% захисту. А чим вище паркан, тим більше хочеться за нього зазирнути. Світ вашої мережі!

Ми дякуємо компанії "SVEGA Computer", офіційного дистриб'ютора Level One вУкаіни за надане мережеве обладнання.