Захищаємо бездротову мережу керівництво thg
Не так давно на сторінках нашого сайту вийшло керівництво по злому WEP. в якому ми показали, що надійність WEP далека від бажаної. Сьогодні, ми покажемо, як можна захистити бездротову мережу.
Всі професіонали з мережевої безпеки знають, що такого поняття, як "досконала захист" просто немає. Для правильного планування безпеки потрібно враховувати вартість захищаються цінностей, вартість впровадження системи безпеки, а також здатності потенційних атакуючих. Іншими словами, перш ніж впроваджувати всіх заходів захисту, відомі людству, розумніше (і дешевше) впровадити заходи захисту від найбільш частих погроз.
Наприклад, бездротові мережі, розташовані в містах, зазвичай піддаються атакам частіше, ніж мережі, розташовані в малонаселеній місцевості. За день в місті через вашу мережу можуть пройти десятки і навіть сотні відвідувачів. Крім того, зловмисники можуть залишатися непоміченими, перебуваючи в машині, припаркованій неподалік. З іншого боку, точка доступу, розташована в будинку посередині села, навряд чи коли-небудь побачить чужого відвідувача, та й незнайомий транспорт буде відразу ж помітний.
Чи потрібно захищати свою мережу?
Цілком розумно роздавати доступ в Інтернет всім вашим гостям. Але до тих пір, поки ви не забезпечите серйозну захист бездротової мережі, ви ризикуєте.
Нижче ми розглянемо заходи щодо захисту бездротової мережі відповідно до передбачуваного рівнем умінь непроханих гостей. Ми наведемо способи для захисту від хакерів різного рівня підготовки.
Примітка. У тексті статті під точкою доступу ми будемо розуміти точку доступу або бездротовий маршрутизатор.
Уміння нульового рівня: будь-який власник комп'ютера з бездротовим адаптером
Для того щоб зламати незахищену мережу можна і не мати які-небудь особливими навичками - кожен власник комп'ютера з бездротовим адаптером потенційно здатний це зробити. Простота використання частіше згадується в контексті бездротових мережевих рішень як величезний плюс, однак це палиця з двома кінцями. У багатьох випадках, включивши комп'ютер з підтримкою бездротової мережі, користувач автоматично з'єднатися з точкою доступу або бачить її в списку доступних.
1. Змініть настройки за замовчуванням
Як мінімум, змініть пароль адміністратора (і ім'я користувача, якщо можна) і ідентифікатор SSID (ім'я мережі) на точці доступу. Як правило, облікові дані адміністратора, встановлені за замовчуванням, відкриті і доступні для більшості бездротового обладнання. Тому, не замінивши їх, ви ризикуєте одного разу отримати відмову при вході в систему і позбутися можливості управління бездротовою мережею (до тих пір, поки не скинете всі настройки)!
В принципі, якщо поруч є кілька точок доступу, то має сенс змінити і канал, щоб уникнути взаємних перешкод. Однак цей захід не особливо вплине на захищеність, оскільки клієнти найчастіше переглядають всі доступні канали.
2. Оновлення прошивку і, якщо потрібно, обладнання
Використання на точці доступу останньої версії програмного забезпечення також підвищує безпеку. У новій прошивці зазвичай виправлені виявлені помилки, а іноді і додані нові можливості захисту. У деяких нових моделей точок доступу для оновлення досить пару раз клацнути кнопкою миші.
Точки доступу, випущені кілька років тому, часто вже не підтримуються виробниками, тобто нових прошивок очікувати не варто. Якщо ж прошивка вашої точки доступу не підтримує навіть WPA (Wi-Fi Protected Access), не кажучи про WPA2. то слід серйозно задуматися про її заміну. Те ж саме стосується адаптерів!
В принципі, все продається сьогодні обладнання 802.11g підтримує, як мінімум, WPA і технічно здатне бути модернізовано до рівня WPA2. Однак виробники не завжди поспішають з оновленням старих продуктів. Якщо хочете переконатися, чи підтримує ваше обладнання WPA2, зверніться на сайт Wi-Fi Alliance.
3. Вимкніть широкомовлення SSID
Більшість точок доступу дозволяють відключити широкомовлення SSID, що може обвести навколо пальця деякі утиліти начебто Netstumbler. Крім того, приховування SSID блокує виявлення вашої мережі засобами вбудованої утиліти налаштування бездротової мережі Windows XP (Wireless Zero Configuration) і інших клієнтських додатків. На Рис. 1 показаний пункт відключення широкомовлення SSID "Hide ESSID" на точці доступу ParkerVision. ( "SSID" і "ESSID" в даному випадку означають одне і те ж).
Мал. 1. Відключення широкомовлення SSID на точці доступу Parkervision.
Примітка. Відключення широкомовлення SSID не убезпечить вас від зломщиків, які використовують такі засоби, як Kismet або AirMagnet. Вони визначають наявність бездротової мережі незалежно від SSID.
4. Вимикайте мережу, коли не працюєте!
Часто користувачі пропускають повз увагу найпростіший спосіб захисту - щоб точки доступу. Раз немає бездротової мережі, то немає і проблем. Найпростіший таймер може відключати точку доступу, наприклад, на ніч, поки ви їй не користуєтеся. Якщо для бездротової мережі і для доступу в Інтернет ви використовуєте один і той же бездротовий маршрутизатор, то при цьому з'єднання з Інтернетом теж не буде працювати - цілком непогано.
Якщо ж потрібно, щоб функція з'єднання з Інтернетом, тоді можна відключати радіомодуль маршрутизатора вручну, якщо він це дозволяє. На Рис. 2 показаний пункт відключення радиомодуля. Такий спосіб недостатньо надійний, оскільки він залежить від "людського фактора" - можна просто забути про відключення. Можливо, виробники коли-небудь додадуть функцію відключення радиомодуля за розкладом.
Мал. 2. Відключення радиомодуля.
6. Зниження потужності передачі
Досвідчені хакери зазвичай використовують потужні спрямовані антени, що дозволяє їм виявляти навіть дуже слабкий сигнал і зводить істотність цього пункту до нуля.
Уміння першого рівня: користувач з загальнодоступним набором утиліт для злому WLAN
Перейдемо до більш досвідченим користувачам, які спеціально бродять по околицях у пошуках бездротових мереж. Деякі займаються цим просто з інтересу, намагаючись виявити, скільки мереж знаходиться поруч. Вони ніколи не намагаються використовувати вразливі мережі. Але є і менш доброзичливі хакери, які підключаються і використовують мережі, а іноді навіть доставляють власникам незручності.
Як ми вважаємо, всі вжиті заходи нульового рівня не врятують від зломщиків першого рівня, і непроханий гість може проникнути в вашу мережу. Від нього можна захиститися, використовуючи шифрування і аутентифікацію. З аутентификацией будемо розбиратися трохи пізніше, поки ж зупинимося на шифруванні.
Примітка. Одне з можливих рішень - пропускати весь бездротової трафік через тунель VPN (Virtual Private Network - віртуальна приватна мережа), однак настройка VPN не зовсім проста і виходить за рамки даного матеріалу.
Власникам бездротових мереж слід використовувати найнадійніший з доступних методів шифрування. Звичайно, тут все залежить від обладнання, але, так чи інакше, зазвичай можна вибрати WEP, WPA або WPA2.
Як WPA (Wi-Fi Protected Access), так і WPA2 забезпечують хороший захист бездротової мережі, що досягається завдяки більш стійкому алгоритму шифрування і поліпшеному алгоритму управління ключами. Основна відмінність між ними полягає в тому, що WPA2 підтримує більш стійке шифрування AES (Advanced Encryption Standard). Однак, ряд продуктів, що підтримують WPA, теж дозволяють використовувати алгоритм шифрування AES замість стандартного TKIP.
Більшість споживчих точок доступу WPA і WPA2 підтримують тільки режим із загальним паролем WPA-PSK (Pre-Shared Key) (Рис. 4). WPA2 або WPA "Enterprise" (він же WPA "RADIUS") також підтримується в деякому обладнанні, проте його використання вимагає наявності сервера RADIUS.
Мал. 4. Шифрування трафіку на точці доступу Netgear.
Для більшості приватних бездротових мереж використання WPA-PSK забезпечить цілком достатній захист, але тільки при виборі щодо довгого і складного пароля. Не слід використовувати тільки цифри або слова зі словника, оскільки такі програми, як cowpatty. дозволяють проводити словникові атаки проти WPA-PSK.
Роберт Москович (Robert Moskowitz), старший технічний директор ICSA Labs, в своїй статті рекомендував використовувати 128-бітове шифрування PSK. На щастя, все реалізації WPA дозволяють використовувати цифробуквене паролі, тобто для виконання рекомендація Московича досить 16 символів.
В Інтернеті можна знайти безліч генераторів паролів, варто лише скористатися пошуковою системою. Наприклад, ось цей має безліч налаштувань і дозволяє оцінювати, наскільки складний злом згенерованого пароля.
І, нарешті, деякі виробники обладнання стали продавати точки доступу і бездротові адаптери з автоматичним настроюванням захисту бездротових з'єднань. Buffalo Technology випустила серію продуктів з технологією AOSS (AirStation One-Touch Secure Station). Linksys недавно почала виробництво і продаж устаткування з підтримкою подібної технології SecureEasySetup від Broadcom.
Уміння другого рівня: користувач з розширеним набором утиліт для злому WEP / WPA-PSK
WPA і WPA2 закривають більшість проблем, які є у WEP, але вони все ж залишаються уразливими, особливо у варіанті PSK. Багато вже самі випробували, як зламати WEP, тим більше що в нашому попередньому матеріалі ми крок за кроком описали процедуру злому.
Злом WPA і WPA2 з паролем складніший і вимагає великих витрат, особливо при використанні шифрування AES, але все ж можливий.
Для захисту від цієї загрози слід впроваджувати аутентифікацію. Аутентифікація додає ще один рівень безпеки, вимагаючи, щоб комп'ютер клієнта зареєструвався в мережі. Традиційно це виконується за допомогою сертифікатів, маркерів або паролів (також відомих як Pre-Shared-Key), які перевіряються на сервері аутентифікації.
Налаштування аутентифікації може виявитися скрутною і дорогий завданням навіть для професіоналів, що вже казати про звичайних користувачів. На нинішній конференції RSA в Сан-Франциско, наприклад, багато відвідувачів вирішили не налаштовувати безпеку бездротових підключень тільки через те, що керівництво займало цілу сторінку!
Подібний продукт від Wireless Security Corporation (недавно придбаної McAfee) носить назву WSC Guard. Ціна передплати на нього починається від $ 4,95 на місяць за кожного користувача, при оплаті кількох місць діють знижки. Безкоштовну 30-денну тестову версію можна скачати тут.
Наступне рішення більше підходить для досвідчених "ставків" - TinyPEAP є прошивкою з сервером RADIUS, який підтримує аутентифікацію PEAP на бездротових маршрутизаторах Linksys WRT54G і GS. Відзначимо, що прошивка офіційно не підтримується Linksys, так що установка виконується на свій страх і ризик.
Уміння третього рівня: професійний хакер
До цього моменту захист зводилася до того, щоб не дати зловмисникові підключитися до вашої мережі. Але що робити, якщо, незважаючи на всі зусилля, хакер проник в мережу?
Існують системи виявлення та запобігання атак для дротових і бездротових мереж, однак вони націлені на корпоративний рівень і мають відповідну вартість. Також можна знайти і рішення, засновані на відкритому вихідному коді, але вони, на жаль, не зовсім зрозумілі для новачків. До речі, найбільш популярною тут є система Snort.
За багато років існування дротових мереж були вироблені основні принципи безпеки, які можна застосовувати і до бездротових мереж. Вони дозволять захиститися від вторгнення зловмисника.
9. Загальна безпеку мережі
Безумовно, бездротові мережі додають чимало зручності, але потрібно з розумом підходити до їх захисту. Якщо ви не зробите захист самостійно, то ніхто не зробить це за вас. Звичайно, від професійного хакера ви навряд чи захиститеся, але значно ускладнить його роботу. Та й навряд чи ваша мережа буде цікава професіоналам. А ось від численних любителів нашкодив ви будете захищені. Так що зважте всі "за" і "проти" і захистіть свою мережу!