Технологии обеспечения безопасности беспроводных сетей Wi-Fi развиваются далеко не первый год. За это время в сети интернет появилось очень много информации, касающейся безопасности Wi-Fi. Часть информации этой уже устарела, а часть - не более чем миф. Попробуем отделить зерна от плевел, и описать самые эффективные способы защиты сетей Wi-Fi.

Миф № 1: Сокрытие SSID усиливает безопасность

Каждый беспроводной маршрутизатор (или точка доступа) транслирует свой идентификатор сети SSID (Service Set Identifier - англ.: Идентификатор зоны обслуживания). По умолчанию беспроводной маршрутизатор постоянно транслирует в сеть пакеты (так называемые маяки), содержащие информацию SSID, для того, чтобы близлежащие устройства могли опознать сеть и подключиться к ней.

Отключив на маршрутизаторе функцию трансляции SSID можно сделать вашу сеть невидимой для устройств. Не зная имени сети устройства не смогут подключиться к данной сети. Звучит неплохо?

На самом деле большинство устройств все еще знает о существовании вашей сети даже после отключения трансляции SSID. Отключив SSID вы просто заставите маршрутизатор прекратить вставлять название сети в пакеты-маяки. Но имя сети можно получить из других служебных пакетов. И узнать имя сети (SSID) не составит большого труда с помощью анализатора сетевого трафика, например Kismet или CommView.

Итак, максимум от кого вы сможете защитить сеть отключив трансляцию SSID - это соседская домохозяйка, которая до сих пор не постигла азы работы с анализаторами сетевого трафика. А вот внимание более опытных домохозяек вы, наоборот, привлечете.

Миф № 2: Фильтрация MAC-адресов

МАС-адрес (Media Access Control - англ.: управление доступом к среде) это идентификатор любой единицы активного оборудования сети. В теории MAC-адреса должны быть уникальными для каждого устройства. Визуально MAC-адрес выглядит примерно так: 00:26:18:db:19:25. Сетевые устройства используют этот адрес в качестве удостоверения личности при отправке и получении данных по сети, т. е. MAC-адрес позволяет идентифицировать каждый узел сети и доставлять данные только этому узлу. Рассмотрим случай, когда вы решили защитить свою сеть, прописав в таблице фильтрации MAC-адресов маршрутизатора MAC-адреса только известных вам устройств.

В этом случае маршрутизатор не позволит аутентифицироваться в вашей сети устройству с неизвестным (не включенным в таблицу фильтрации) MAC-адресом, даже если устройству известен пароль доступа к беспроводной сети.

Очень надежная защита на первый взгляд. Однако продвинутая домохозяйка, умеющая пользоваться анализаторами сетевого трафика, легко обнаружит MAC-адреса устройств, которые уже зарегистрированы в вашей беспроводной сети (те, которые вы прописали в таблицу фильтрации MAC). Далее сия домохозяйка просто сменит MAC-адрес своего компьютера на найденный и уже прописанный вами в таблице фильтрации маршрутизатора. Вуаля! И вот уже ваши секреты - не секреты )

Итак, все что вы получите создавая таблицу фильтрации MAC-адресов - потерянное время на добавление в таблицу новых устройств. А вдобавок гневные высказывания в ваш адрес вполне легитимных пользователей с новыми устройствами.

Миф № 3: Ограничение диапазона IP адресов выдаваемых клиентам беспроводной сети

Каждое устройство в сети может быть идентифицировано по уникальному IP-адресу (IP - Internet Protocol - англ.: Протокол интернет). При подключении нового устройства к вашей беспроводной сети, маршрутизатор (точнее DHCP сервер маршрутизатора) присваивает ему уникальный IP адрес. Заблуждение заключается в том, что ограничив количество выдаваемых сервером IP-адресов, можно ограничить количество устройств способных подключиться к вашей сети. Конечно это не так, и объяснение в следующем мифе.

Миф № 4: Отключение DHCP сервера на маршрутизаторе остановит злобных хакеров

По этой легенде вы можете отключить сервер DHCP, который выдает IP-адреса новым устройствам, и вручную назначить адреса устройствам в своей сети. Далее вы могли бы прописать на маршрутизаторе список IP-адресов устройств разрешенных для регистрации в беспроводной сети. Недостатки и способ обхода такого ограничения точно такой же, как и в случае фильтрации MAC-адресов.

Миф № 5: Маленькие сети трудно обнаружить и взломать

Суть этого заблуждения в том, что уменьшение мощности передатчика беспроводного маршрутизатора сделает вашу сеть невидимой за пределами офиса или дома. Это самое глупое, что можно придумать.

Любая домохозяйка решившая проникнуть в вашу сеть, просто будет использовать большую антенну (или антенну с высоким коэффициентом усиления сигнала). Все чего вы добьетесь ограничив мощность, это снижение дальности и эффективности работы вашей беспроводной сети.

Истинная правда: Шифрование является наилучшим способом защиты Wi-Fi сети

Теперь, когда мы рассмотрели 5 мифов о безопасности Wi-Fi, давайте рассмотрим, как защитить свою сеть наилучшим образом с помощью шифрования.

Шифрование является достаточно надежным средством от перехвата осмысленных данных. Т. е. если даже какие то пакеты (пусть все) будут перехвачены - их будет необходимо расшифровать. Что при применении хорошей системы шифрования сделать очень и очень сложно. В итоге максимум на руках у злоумышленника будет бессмысленный набор зашифрованных данных, никакие ваши пароли, тексты, счета и т. д. будут ему не доступны.

За годы развития Wi-Fi было разработано несколько типов шифрования. В самом начале был создан тип шифрования WEP, который долгое время считался надежным. В наши дни алгоритм шифрования WEP можно взломать за пару минут. Поэтому, если это единственный алгоритм шифрования, который поддерживает ваш маршрутизатор или клиентское устройство (смартфон, ноутбук, сетевая карта) - поскорее избавьтесь от этого старого железа.

На смену WEP пришел алгоритм шифрования WPA. Этот алгоритм также был скомпрометирован и имеет некоторые проблемы с безопасностью в настоящий момент. Сейчас для защиты сети Wi-Fi используется более защищенный алгоритм WPA2. Если ваше устройство (маршрутизатор или клиентское устройство) не поддерживают алгоритм WPA2 - подумайте о его замене на оборудование с поддержкой WPA2.

Алгоритм WPA2 (как и WPA) может использовать 2 различных режима: Персональный (для аутентификации используется PSK - Pre-Shared key, т. е. можно указать ключ сети вручную) и Предприятия (для аутентификации используется внешний RADIUS сервер).

Первый режим предназначен для использования в домашних сетях и настраивается очень просто. Нужно указать ключ безопасности на маршрутизаторе, а затем использовать этот ключ для подключения каждого устройства в вашей сети. Если маршрутизатор позволяет указать тип шифрования - указывайте AES. До тех пор пока вы используете достаточно сложный пароль не менее 12 символов (строчные и прописные буквы, цифры, спец. символы, что-то вроде этого: 1%}sZ3$-6NbV) ваша Wi-Fi сеть будет более чем надежно защищена.

Второй режим WPA2-Enterprise (Предприятие) предназначен для сетей корпоративного уровня и обеспечивает более высокий уровень безопасности, но требует наличия RADIUS сервера для аутентификации.

Теперь, когда вы знаете, как лучше всего обеспечить безопасность своей Wi-Fi сети, проверьте настройки вашего маршрутизатора.

Нужна помощь с настройкой Wi-Fi в Новосибирске? Обращайтесь, поможем!