Вступ
У наших статтях " Перший крок до бездротових мереж Wi-Fi "І" Будуємо бездротову мережу на швидкості 108 Мбіт / с "Ми розглядали установку бездротових мереж в домашніх умовах, коли необхідно пов'язати між собою два і більше комп'ютерів. У цих статтях для спрощення установки ми робили мережі відкритими, без шифрування даних. Але прийшов час подбати про власну інформаційну безпеку і дати хакерам по руках. Сьогодні ми будемо захищати нашу бездротову мережу від несанкціонованого доступу.
Навіщо налаштовувати безпеку бездротових мереж
Не думайте, що ваш комп'ютер не цікавий хакерам і з нього нічого брати. Насправді, якщо у вас на машині встановлені тільки іграшки, вам нема чого боятися за ваші дані. Навіть в разі повної втрати інформації відновити її буде можна протягом декількох днів. Але навіть в цьому випадку вам напевно не захочеться, щоб ваша колекція MP3 файлів, домашня фото і відео зйомки стали надбанням громадськості. Крім того, часом буває так неприємно втрачати все, що було досягнуто в іграх через казна-звідки взялися вірусів.
Якщо ваш комп'ютер підключений до інтернету, то хакер через відкриту бездротову мережу зможе отримати халявний доступ до глобальної мережі, гальмуючи вашу роботу. Через ваш комп'ютер хакер зможе розсилати СПАМ, проводити атаки на інші захищені системи, ніж сильно ускладнить ваше життя.
Отже, прийшов час налаштовувати безпеку бездротової мережі. Для установки бездротових мереж ми використовували обладнання німецького виробника, компанії Level One. Це обладнання відрізняється тим, що в комплекті з ним поставляються зручні утиліти, що дозволяють користувачеві легко налаштувати всі параметри WLAN. Ну що ж, нагадаємо нашу тестову конфігурацію.
Персональний комп'ютер. Щоб уникнути можливих проблем, ми використовували комп'ютер, зібраний на базі barebone платформи Shuttle SB75G2 , Стабільної платформи, зарекомендувала себе з кращого боку в плані відсутності перешкод.
Конфігурація тестового комп'ютера:
- Процесор Intel Pentium 2.8 (800 MHz, Hyper-Threading, 512 Kb L2)
- Жорсткий диск - Maxtor DiamondMax 9, 80 Gb, 7200 rpm
- Відеокарта - Albatron GeForce FX 5700
- Операційна система - Windows XP Pro + Service Pack 2
В цьому комп'ютері було встановлено 1024 Мб пам'яті DDR400 виробництва компанії OCZ .
Пам'ять OCZ DDR400 серії PC3200 Titanium має таймінги CL 2-3-2-5 і забезпечує нам максимальну продуктивність ( читайте статтю про залежність швидкості комп'ютера від затримок пам'яті ).
Ноутбук IRu Novia 3331W Combo. Огляд цього ноутбука ви можете прочитати тут . Цей мобільний комп'ютер, побудований на платформі Centrino, вже має вбудований контроллер Wi-Fi IEEE 802.11g.
Мережева карта Level One WNC-0300
USB контролер Level One WNC-0301USB.
Точка доступу WAP-0004
Увага! Всі паролі, зазначені на скріншотах служать лише рекламою нашого ресурсу. Ми рекомендуємо не використовувати як паролі слова, взяті зі словника, імена та інші назви. Ідеальний пароль - це набір великих і малих літер упереміш з цифрами і спеціальними символами! Наприклад, oR2 (cNo7bJ & _B
Крок 1 - міняємо пароль точки доступу
Якщо ви використовуєте точку доступу, яка має свій IP адреса і управляється через WEB-інтерфейс, то перше що вам треба зробити - це змінити пароль, встановлений в ній за замовчуванням. На відміну від мережевої карти, яка встановлена у вашому комп'ютері, точка доступу включена завжди і завжди доступна через web-інтерфейс для управління. Якщо не знати пароля доступу до неї, то зламати її налаштування буде неможливо.
У точці доступу Level One WAP-0004 ви можете змінити не тільки пароль, але і ім'я адміністратора. Для цього досить зайти в розділ "безпеку". Дуже рекомендуємо записувати пароль в якусь записну книжку, щоб не забути, тому що якщо ви його втратите, то на деяких точках доступу вже не зможете ніколи нічого налаштувати.
Крок 2 - відключаємо трансляцію ID мережі
У нормальному режимі точка доступу віщає свій мережевий ідентифікатор, щоб будь-хто, хто виконує пошук бездротових мереж, міг її знайти. Це можна порівняти з продавцем на ринку, який кричить "Пиріжки, пиріжки", привертаючи загальну увагу. Якщо ми - не провайдер і нам не треба демонструвати свою бездротову мережу всім бажаючим, ми можемо відключити цю трансляцію. Якщо ми змінимо ідентифікатор нашої мережі, грубо кажучи його ім'я і відключимо мовлення цього імені, то підключитися до нашої мережі зможе тільки той, хто заздалегідь знає це ім'я. Ось вам ще один пароль. Знайти і зламати бездротову мережу після цього стане складніше.
У точці доступу Level One WAP-0004 настройка трансляції ідентифікатора бездротової мережі знаходиться в розділі розширених налаштувань (Advanced Settings). Відключивши трансляцію SSID і зробивши ім'я мережі типу "Hardwareportal_016" ми вже будемо впевнені, що хто даремно нашу мережу не побачить і у юних піонерів не буде бажання випробувати нашу мережу на міцність.
Крок 3 - встановлюємо фільтрацію по MAC адресу
Якщо у вас в офісі комп'ютерний парк не змінюється або якщо ви точно знаєте, яким комп'ютерам друзів можна дати доступ до мережі, а яким - ні, то можна використовувати фільтрацію по MAC адресу. Справа в тому, що MAC адреса - це унікальний ідентифікатор, зашитий виробником в свої мережеві карти на стадії виробництва. Кожна карта має свій MAC адресу і навіть дві "сусідні" мережеві плати від одного виробника і з однієї партії різняться по MAC адресу. Вважається, що в світі не може бути двох пристроїв з однаковими MAC адресами. Ця опція зручна в тому випадку, якщо я хочу пов'язати два комп'ютери вдома або кілька комп'ютерів в офісі по бездротових мережах. Наприклад, у мене є один-два друга з ноутбуками, які можуть прийти до мене додому і побажати вийти в мережу через мою точку доступу. Але якщо друзів багато або багато клієнтів, які кожен раз приходять до вас в офіс з різними ноутбуками, то цей спосіб захисту може бути незручним. Для третього друга я ще зможу змінити налаштування точки доступу, але робити це заради кожного прийшов - трудомістке заняття.
Фільтрація по MAC адресу дозволить підключатися до вашої мережі тільки заданим пристроїв з їх унікальними MAC адресами. Або навпаки - дозволить всім крім заданих MAC-адрес використовувати вашу мережу. Зручно поставити блокування на комп'ютер сусіда, який вже намагався підключитися до вашої мережі без вашого попиту.
Дізнатися MAC-адресу мережевої карти досить просто. В операційній системі Windows XP робите в такий спосіб: [ПУСК] -> [Виконати], набираєте CMD і тиснете [OK]. У вікні MS-DOS вводите ipconfig / all і знову [ENTER]. Тепер перед вами виводиться список всіх встановлених в комп'ютері мережевих карт і їх налаштувань. Фізична адреса - це і є те, що нам треба.
Ми отримали MAC-адресу USB-контролера Level One WNC-0301USB, встановленого на нашому комп'ютері. Тепер прописуємо його в налаштування точки доступу.
У точці доступу Level One WAP-0004 фільтрація по MAC-адресу так само знаходиться в розділі розширених налаштувань. Точка доступу дозволяє запам'ятовувати до 40 адрес різних пристроїв і надавати доступ тільки їм або ж навпаки - всім, крім заданих.
Однак, змінити MAC-адресу мережевої карти не так вже й складно. І мало-мальськи грамотний хакер зможе це зробити, якщо дізнається MAC адреси дозволених мережевих карт. Так що зберігаєте MAC-адреси в таємниці і не забувайте, що фільтрація по MAC-адресами не може забезпечити 100% захист від доступу сторонніх осіб.
Проста аутентифікація користувачів за паролем "Shared Key" зробить вашу мережу закритою від небажаних користувачів, але не зупинить хакера. Альтернативу звичайної аутентифікації ми розглянемо трохи нижче, коли будемо говорити про WPA-PSK.
Зміна паролів, відключення трансляції SSID, завдання незвичайного SSID і фільтрація по MAC-адресами дозволить вам відбити бажання у доморощених хакерів отримати доступ до вашої бездротової мережі. Однак, більш просунуті зломщики можуть перехоплювати передані вами дані, прослуховуючи радіоканал. Якщо зловмисник знаходиться в зоні дії вашої мережі, то він зможе "прослуховувати" ваш ефір, озброївшись звичайним ноутбуком з бездротовим контролером і спеціальним програмним забезпеченням, якого повно в глобальній мережі.
шифрування даних
Щоб захистити ваші дані по шляху від одного мережевого контролера до іншого, використовується шифрування даних. При шифруванні даних необхідно на кожному комп'ютері і на точках доступу налаштувати протокол шифрування і ключі.
Перший і найбільш простий спосіб шифрування даних - використання WEP протоколу. WEP (Wired Equivalence Privacy) дозволяє домогтися такої ж безпеки, як при використанні дротових мереж. При використанні WEP шифрування, необхідно, щоб на всіх підключених точках використовувалися ідентичні ключі. Чим довше ключ, тим складніше його підібрати. Сучасне бездротове обладнання використовує 64-бітові, 128-бітові та 256-бітові ключі. Точка доступу Level One WAP-0004 дозволяє використовувати 64-бітові та 128-бітові ключі. Налаштування шифрування виробляються в розділі "Basic Settings".
128-бітний ключ - це 13 символів в форматі ASCII, а 64-бітний ключ - це 5 символів. Рекомендуємо встановлювати мінімум 128-бітний ключ, а по можливості навіть 256-бітний. У сучасному мережевому обладнанні ви можете записувати до 4 ключів WEP і вибирати активний за погодженням з клієнтами. Наприклад, по одному на кожного тижня. Задавши ці ключі для нашої точки доступу, необхідно прописати їх же на клієнтської частини.
На стороні клієнта для цього може використовуватися програмне забезпечення, що постачається виробником мережевого устаткування або ж сама операційна система. У першому випадку зробити настройки набагато простіше. Тут так само є прапорець - ключ надається при аутентифікації по протоколу 802.1x. Краще його не включати.
Як часто міняти ключі - вибирати, природно вам. Якщо ви вважаєте, що хакер, який витратив близько 100 годин на розшифровку вашого ключа і не добився результату, не піде з горя пити пиво, а продовжить роботу - міняйте щотижня. Якщо ж ваші дані і ваш трафік не становлять великого інтересу - можете взагалі не міняти.
Однак, є спосіб, який не зажадає взагалі від вас введення ніяких ключів. Пристрої, що підтримують протокол 802.11g можуть похвалитися більш прогресивним методом шифрування - WPA (Wi-Fi Protected Access). Цей стандарт об'єднує два методи - TKIP і MIC.
Суть методу шифрування TKIP полягає в тому, що 128-бітові ключі автоматично генеруються при посилці кожних 10 кілобайт даних. Загальна кількість ключів обчислюється сотнями мільярдів. Це означає, що наприклад при передачі MP3-файлу об'ємом 5 мегабайт, його трафік буде зашифровано за використанням 512 ключів, кожен з яких має довжину 13 символів. Така система дає найвищі гарантії від перехоплення і розшифровки даних. Крім того, спеціальний алгоритм MIC (Message Integrity Check) звіряє відправлені і отримані дані, щоб виключити їх зміни в шляху. Хакер більше не зможе вбудувати шкідливі коди в ваші дані на шляху відправки.
Стандартний WPA протокол вимагає установки RADIUS сервера, що не застосовується в домашніх мережах і малих офісах. Простіший режим WPA-PSK підтримує заздалегідь створені ключі (Pre-Shared Keys). Цей ключ, як і ключ в режимі WEP, задається на всіх клієнтських машинах і точки доступу, щоб забезпечити первинну ідентифікацію станцій.
Точка доступу WAP-0004 від Level One дозволяє використовувати метод шифрування трафік WPA-PSK із завданням ключа. Для цього в базових налаштуваннях вибираємо метод аутентифікації: WPA-PSK і задаємо пароль. Точка доступу WAP-0004 дозволяє задавати пароль довжиною від 8 до 34 символів (256-біт) - досить багато, щоб зайняти комп'ютер хакера підбором паролів на кілька найближчих років.
Точка доступу WPA-0004 підтримує шифрування тільки за методом TKIP. Так що вибирати шифрування при установці методу захисту WPA, вже не треба.
На клієнтському комп'ютері так само вибирається вид шифрування TKIP і метод аутентифікації WPA PSK. Після цього в настройках шифрування WPA задається пароль і можна сказати, що бездротове з'єднання захищено від потойбічних сил.
Шифрування WPA-PSK за методом TKIP вважається неприступною стіною для хакерів. Але існує ще більш потужний спосіб захисту: шифрування за методом AES (Advance Encryption Standard), раніше використовуваний в мережах VPN. Ця технологія підтримується не всім сучасним мережевим обладнанням. З недорогого обладнання Level One ця технологія підтримується тільки USB контролером WNC-0301USB. Але не варто пропускати повз і той факт, що до сих пір захист по протоколу WPA була зламана хакерами.
додаткові заходи
Які додаткові заходи варто вжити будинку або в офісі для захисту бездротової мережі? Перш за все, якщо немає необхідності в зворотному, постаратися знизити радіус дії бездротової мережі. Щоб за стінами вашої квартири або офісу сигнал ловився дуже погано. Тоді хакеру для роботи доведеться максимально наблизитися до вашого офісу або будинку.
Якщо всі клієнтські комп'ютери підключаються до точки доступу, то на них треба заборонити з'єднання по типу ad-hoc, щоб до них не могли підключатися зловмисники, минаючи всі налаштування збереження в таємниці вашої точки доступу. Для цього досить вибрати тип мережі - Infrastructure в налаштуваннях мережевих карт.
Якщо точка доступу дозволяє налаштовувати її по провідному підключенню і відключити бездротову настройку, треба обов'язково зробити це. Встановлення точки доступу через Wi-Fi повинна бути відключена, щоб зловмисник не міг до неї підключитися навіть знаючи пароль доступу.
Установка VPN (Virtual Private Network) ще більше захистить вашу мережу від сторонніх впроваджень.
висновок
Перерахованих вище заходів достатньо, щоб захистити домашню або малу офісну мережу, що складається з однієї точки доступу і декількох клієнтських машин від хакерських атак. Або відбити бажання у хакера поживитися інтернетом за ваш рахунок. Давайте наостанок повторимо, що треба зробити з мережею, щоб підвищити її захист.
Використовуйте з'єднання типу Infrastructure, з точкою доступу
Змініть логін і пароль для адміністрування точки доступу
По можливості, налаштовуйте точку доступу через дротове з'єднання і відключіть можливість доступу до налаштувань точки доступу за допомогою бездротової технології
Сховайте вашу мережу від очей - задайте унікальний SSID мережі та відключіть трансляцію її SSID, щоб вона не муляла очі і не напрошувалася "зламай мене".
Якщо ви не плануєте підключати невідомі комп'ютери до мережі, встановіть фільтрацію по MAC-адресами
Замість звичайної аутентифікації використовуйте метод WPA-PSK з шифруванням TKIP або EAS.
Обов'язково використовуйте шифрування потоку. Мінімум - WEP, але краще WPA-PSK, WPA TKIP або WPA EAS.
Використовуйте довгі паролі. Мінімум - 128 біт, але краще 256 біт. Паролі повинні включати в себе букви, цифри і спеціальні символи. Не використовуйте звичайні слова зі словника, імена та ін. Навіть зі звичайного слова HardwarePortal можна зробити пароль виду H @ rD \ / \ / @ reP0rT / \ | _.
Ну і наостанок не варто забувати, що міцність ланцюга визначається міцністю найслабшої ланки. Ваша бездротова мережа може бути повністю захищена від стороннього доступу, але провідна частина може, сервер і шлюз може бути не підготовлений до атаки зловмисників. Ваша мережа може бути повністю захищена, але хакер зламає вашу поштову скриньку. Ну і в такому роді. Так само варто мати на увазі, що будь-який замок характеризується часом розтину і не забезпечує 100% захисту. А чим вище паркан, тим більше хочеться за нього зазирнути. Світ вашої мережі!
Ми дякуємо компанії "SVEGA Computer", офіційного дистриб'ютора Level One в Росії за надане мережеве обладнання.
- ноутбук " IRu Novia 3331W Combo "Надано компанією" Метаком-М ".
- Barebone платформа " Shuttle SB75G2 "Надана компанією" Клуб Мультимедіа "
- Пам'ять "OCZ PC3200 Titanium" надана компанією "SVEGA Computer"
Михайло Дегтярьов (aka LIKE OFF)
6 / 07.2005