На первый взгляд, создать надежно защищенную wi-fi сеть очень трудно. Необходимо приобрести "правильное" оборудование, настроить сервер аутентификации, позаботиться об учете интернет трафика и защите от внешних атак посредством фаервола.
Всё это может отнять массу времени и денежных средств. В данной статье я расскажу об одном из самых дешевых и простых способов создания защищенной беспроводной сети с общим выходом в Интернет.
Часть 1. Немного о безопасности
Причина уязвимости беспроводных сетей заключена в принципе их работы: перехватить данные, передающиеся по радиоканалу, намного легче, чем при обычном кабельном соединении. Это не требует дорогостоящего оборудования и реализуемо при помощи обычного ноутбука, пары хакерских утилит (таких как airodump и aircrack) и хорошей инструкции по взлому wi-fi (как например здесь). Поэтому беспроводная сеть должна быть максимально защищена от различного рода атак: несанкционированных подключений, перехвата и прослушивания
трафика, хищения важной информации, "ложных" точек доступа и т.п.
На сегодняшний день наиболее надежным для беспроводных сетей признан стандарт безопасности WPA (Wi-Fi Protected Access). Начальную защиту wi-fi сети можно обеспечить при помощи режима WPA-PSK (Pre-Shared Key), когда на точке доступа и на компьютере пользователя вручную вводится ключ сеанса связи – Pre-Shared Key, напоминающий обычный пароль. Потенциальная уязвимость WPA-PSK возникает из-за того, что в реальных сетях ключевая фраза редко меняется и одинакова для всех пользователей сети. При наличии времени
и мощного компьютера подобрать такой пароль не составит особого труда.
Более надежная защита сети достигается при использовании режима WPA Enterprise, когда в сети установлен сервер аутентификации (RADIUS сервер), осуществляющий проверку прав доступа пользователей. В таком случае беспроводная точка доступа будет блокировать все подключения к беспроводной сети до тех пор, пока вводимые пользователем имя и пароль не пройдут проверку на сервере аутентификации. Если пользователя нет в базе данных RADIUS сервера, то он не сможет подключиться к wi-fi сети.
Максимальную защиту беспроводной сети обеспечивает использование цифровых сертификатов и метода аутентификации EAP-TLS (Extensible Authentication Protocol - Transport Level Security). В таком случае компьютер пользователя и RADIUS сервер проверяют друг друга по заранее сгенерированным цифровым сертификатам, что гарантировано защитит вашу сеть от несанкционированных подключений, а пользователей – от внедряемых хакерами "ложных" точек доступа.
Для ещё более надежной защиты передаваемых данных можно создать внешнюю защитную оболочку беспроводной сети, используя технологию VPN (Virtual Private Network) поверх WPA, что добавит второй уровень шифрования трафика.
И, наконец, защититься от несанкционированных точек доступа, втайне устанавливаемых вашими сотрудниками, можно при помощи специального сетевого оборудования, умеющего выявлять подобные устройства и генерировать соответствующие отчеты.
Построить такую систему защиты беспроводной сети под силу немногим: нужно, как минимум, правильно настроить беспроводную точку доступа и сервер авторизации RADIUS, создать Базу данных пользователей, разработать систему управления этой базой и цифровыми сертификатами, и самое главное - объединить все эти компоненты в единую сеть.
Но, несмотря на кажущуюся сложность, создать максимально защищенную wi-fi сеть достаточно легко. Для этого необязательно быть гуру в инфобезопасности и беспроводных стандартах. Всё можно сделать за час-полтора, имея:
отдельный компьютер;
беспроводную точку доступа, поддерживающую WPA, WPA2 и авторизацию на RADIUS-сервере (данные характеристики точки доступа можно узнать из её документации или у консультантов в компьютерном магазине);
программу Esomo, которая будет играть роль RADIUS сервера, а также сервера общего доступа в Интернет. Официальный сайт разработчика программы: www.esomoline.com. Для защиты беспроводной сети Esomo использует протокол EAP-TLS, предусматривающий аутентификацию пользователей на встроенном RADIUS сервере и взаимную проверку подлинности между RADIUS сервером Esomo и компьютерами пользователей по цифровым сертификатам.
Часть 2. Пример создания защищенной беспроводной сети
Теперь рассмотрим пример организации локальной wi-fi сети на базе Esomo. Сеть включает 11 компьютеров, беспроводную точку доступа Linksys и подключена к Интернету через ADSL модем.
Прежде всего, скачиваем Esomo с сайта разработчика (размер дистрибутива 135 Мб) и устанавливаем серверную часть программы на отдельный компьютер с двумя сетевыми картами. Это будет наш RADIUS сервер, а также VPN сервер и сервер доступа в Интернет, позволяющий ограничивать трафик пользователей, просматривать статистику доступа и расходов трафика. Для работы Esomo не требуется операционная система, т.к. в состав программы уже входит свободно распространяемая ОС FreeBSD. Пошаговую инструкцию по установке Esomo
Вы можете найти здесь.
После установки программы подключаем компьютер с Esomo и беспроводную точку доступа к сетевому коммутатору. Через второй сетевой интерфейс подключаем сервер Esomo к ADSL-модему (или к кабелю, если у вас выделенная линия). На любом Windows-компьютере локальной сети (также подключенному к сетевому коммутатору) запускаем Esomo АРМ и подключаемся к серверу Esomo.
Создать защищенную беспроводную сеть на базе Esomo можно за 4 простых шага. Вначале мы займемся настройкой Esomo для работы с беспроводной сетью. Затем настроим беспроводную точку доступа и компьютеры пользователей. И, наконец, подключимся к wi-fi сети и установим VPN-соединение с сервером Esomo для создания второго уровня защиты беспроводного трафика. После этого можно безопасно работать в wi-fi сети и Интернет. Итак, приступим.
Шаг 1. Настройка сервера Esomo
Прежде всего, выдадим постоянный IP-адрес беспроводной точке доступа для работы в нашей сети. Для этого добавим точку доступа в список статического DHCP (МАС-адрес точки доступа обычно указан в наклейке на ней). Применим настройки.
Теперь добавим беспроводную точку доступа в список точек доступа на сервере Esomo и укажем для нее секретный ключ (пароль). Это необходимо для организации безопасного соединения между точкой доступа и Esomo. Применим настройки.
Чтобы пользователи сети могли выходить в Интернет, а Esomo учитывать их трафик, необходимо создать тариф, определяющий стоимость 1 Мб трафика или 1 минуты интернет соединения. Для этого в разделе "Тарифы" добавим новый тариф, определив стоимость 1 Мб входящего трафика, например в 1 рубль.
Поскольку на момент написания статьи Esomo разрешает доступ в Интернет только пользователям, имеющим тариф и средства на индивидуальном счете, зайдем в раздел "Пользователи" и дважды кликнув по пользователю testuser присвоим ему ранее созданный тариф и добавим на его счет 500 рублей.
На этом настройка сервера Esomo завершена. Оставляем окно Esomo АРМ открытым и переходим к настройке беспроводной точки доступа.
Последние публикации в разделе «Новости и обзоры»:
«Серверы Sun Fire серии X4ХХ0 прошли сертификацию «1С»» Фирма «1С» и корпорация Sun Microsystems объявили о завершении сертификации серверов Sun Fire серии X4ХХ0 на базе стандартной архитектуры x64 для использования с приложениями «1С:Предприятие 8»...
«Сервер Dell на процессорах AMD Opteron установил рекорд в тесте «виртуальной» производительности» По данным компании AMD, четырехпроцессорный сервер Dell с четырехъядерными процессорами AMD Opteron SE (на иллюстрации изображен кристалл такого процессора) набрал максимальный результат производительности в тесте виртуализации VMmark компании VMware. Теперь модели Dell PowerEdge R905 принадлежит официальный рекорд в этой категории с результатом 14,17 балла (результаты можно найти на сайте VMware). Производительность сервера, выраженная в «виртуальных машинах», оценивается числом 60...
«IP-видеосервер VOCORD Avantpost интегрирован в «умный дом»» Компания INTELVISION успешно провела интеграцию видеорегистратора VOCORD Avantpost в новую линейку продуктов INTELVISION SmartUnity. Новое решение IP-SmartUnity, предназначенное для автоматизации жилых помещений и офисов, позволяет инсталляторам и монтажным организациям устанавливать на объектах полнофункциональную систему «умный дом»...
«Xerox внедряет в печатный сервер FreeFlow Print Server интерпретатор Adobe PDF Print Engine» В рамках расширения сотрудничества с компанией Adobe Systems корпорация Xerox планирует внедрить в свой печатный сервер (Print Server) интерпретатор Adobe PDF Print Engine. Совмещение FreeFlow Print Server и Adobe PDF Print Engine обеспечит быструю и надежную печать файлов в формате переносных документов Adobe, в том числе, сложных чертежей и слайдов для промышленного производства...
«Сервер переводов ПРОМТ на корпоративном портале ЛУКОЙЛа» «ЛУКОЙЛ-ИНФОРМ» и ПРОМТ объявили о внедрении системы PROMT Translation Server Intranet Edition на внутрикорпоративном портале одной из крупнейших российских нефтяных компаний — ОАО «ЛУКОЙЛ». Интранет-решение PROMT поможет каждому сотруднику компании эффективно организовать перевод документации и информационных материалов на иностранные языки...
*****
Обзор серверного и сетевого программного обеспечения с возможностью скачать:
CommView for WiFi, 6.0.0.597 СommView for WiFi — это специальная версия CommView, созданная для захвата и анализа сетевых пакетов в беспроводных сетях стандарта 802.11b. Она получает информацию от беспроводного сетевого адаптера и декодирует анализируемые данные...
Hidden Administrator, 2.2 Программа предназначена для управления удаленными компьютерами в локальной сети либо через Интернет...
WTware, 4.4.10 WTware — набор программ, который позволит использовать любые компьютеры вашей компании как удобные и производительные Windows-терминалы. Системное администрирование станет легче, компьютеры надежнее и быстрее, а сеть безопаснее: на терминале нет жесткого диска и операционной системы, его очень сложно сломать и нельзя заразить вирусом. Апгрейд больше не нужен: пользователи могут работать с любыми современными приложениями даже с 486-х...
GERMES, 4.0 GERMES предназначен для быстрого, удобного и надёжного обмена файлами между удалёнными структурными подразделениями различных организаций. Передача файлов осуществляется по любым каналам связи (телефонные линии, Internet и т.д.) с использованием сетевого протокола TCP/IP. Комплекс обеспечивает шифрование передаваемых данных (Blowfish, DES, 3DES, Rijngael, Square, Twofish — на выбор). Работает по технологии клиент-сервер, очень прост в установке и настройке, имеет подробную справку...
Gizmo, 4.0.3.373 Gizmo - программа во многом аналогичная широкоизвестному Skype, то есть также позволяет совершать звонки на другие компьютеры, используя для этого Интернет-соединение. Использовать Gizmo крайне просто - все соединение осуществляется буквально одним кликом мыши. Программа бесплатна, позволяет добавлять звуковые эффекты в разговор, способна проверять качество соединения, предоставляет расширенную информацию о подключении, способна записывать разговоры и т.д...
Внимание! У нас открыт форум посвященный серверному и компьютерному оборудованию, программному обеспечению и телефонии!
Приглашаем Вас принять активное участие в жизни и развитии форума. Создавайте свои темы, дискутируйте с участниками и производителями компьютерной техники.
Наши технические специалисты отвечают на любой вопрос по компьютерной и серверной тематике. Если возникли проблемы с Вашим оборудованием -
не откладывайте её в долгий ящик, ведь есть МЫ - спросите у нас и получите ОПЕРАТИВНЫЙ БЕСПЛАТНЫЙ ответ в форуме, по почте или ICQ 177229825 (наши специалисты всегда On-Line).
Последние публикации из рубрики «Полезные советы по работе с компьютером»:
Интернет - Оптимизация связи
Существует возможность вырезать баннеры без помощи специальных программ. Для этого каждой баннерной сети нужно принудительно назначить адрес 127.0.0.1, принадлежащий вашему собственному компьютеру, внеся в файл hosts список известных баннерных сетей типа: 127.0.0.1 banner.kiev.ua 127.0.0.1 ad.bannerpoint.ru 127.0.0.1 ad.bb.ru Тогда, встретив на веб-страничке ссылку, например, на ad.bannerpoint.ru, ваш браузер попытается загрузить её с вашего же компьютера, а поскольку веб-сервера на
нём не наблюдается, то баннер попросту будет отсечён и интернет-запросов на него уходить не будет.
Поскольку любая баннерная сеть пишет себя в Cookie, то список этих сетей можно составить на основе файлов этого каталога. Заходим в вышеозначенный каталог, берём оттуда все файлы, которые нам не нравятся (в основном со словом ad), и пихаем соответствующие имена в hosts.
