Стандартом 802.11 предусмотрены средства для обеспечения
безопасности беспроводной сети, которые можно считать минимально необходимыми. К
этим средствам относятся контроль доступа по имени сети (SSID)
и по MAC-адресам, а также шифрование по протоколу
WEP (Wired Equivalent Privacy). Эти средства
поддерживаются на оборудовании Wi-Fi любого
производителя. Но, как правило, по умолчанию контроль
MAC-адресов и шифрование отключены, а в качестве
SSID используется заранее известное значение
(например, на оборудовании D-Link -
default).
Какие шаги следует выполнить для обеспечения минимально
приемлемого уровня безопасности?
Во-первых, необходимо изменить имя сети и запретить его
широковещательную рассылку. По умолчанию точка доступа транслирует
SSID в эфир, запрет широковещательной рассылки
затруднит посторонним пользователям подключение к вашей сети. Но, конечно, не
исключит возможность такого подключения.
В некоторых случаях запрет широковещательной рассылки
SSID может вызвать проблемы при восстановлении
потерянного соединения у легальных пользователей. Тогда вам придется либо
экспериментировать с версиями прошивок точки доступа и драйверов сетевых
адаптеров, либо смириться с тем, что рассылка SSID
все-таки будет производиться.
Во-вторых, необходимо включить фильтрацию по
MAC-адресам и задать на точке доступа
список MAC-адресов, которым разрешена работа в данной
беспроводной сети. MAC-адрес -
это физический адрес сетевого устройства, например, сетевого адаптера. Обычно
MAC-адрес написан непосредственно на сетевом адаптере
(примерно такого вида: 00-0D-88-9D-25-67). Узнать
MAC-адрес установленного в вашем компьютере сетевого
адаптера можно также с помощью команды ipconfig /all
(в командной строке Windows).
Не забудьте кроме MAC-адресов
беспроводных устройств внести в список MAC-адрес
проводного сетевого адаптера того компьютера, с которого Вы производите
администрирование точки доступа.
Третий шаг - включение шифрования
трафика по протоколу WEP. Оборудование разных производителей может
поддерживать шифрование с длиной ключа 64,
128, 152 и 256 bit. Чем длиннее ключ, тем выше
уровень защищенности. Однако, использование ключей длиннее, чем 64 bit
не гарантирует совместимости оборудования
Wi-Fi разных производителей.
Рекомендуется периодически изменять ключи шифрования
WEP.
К минимально необходимым средствам также следует отнести
соблюдение следующих рекомендаций:
Измените пароль администратора, используемый по умолчанию на точке
доступа.
Не включайте без необходимости возможность удаленного администрирования
точки доступа из внешней сети.
По возможности, уменьшите мощность передатчика точки доступа для
сокращения зоны покрытия (если, конечно, оборудование позволяет сделать это).
Что получили?
Описанные выше меры позволят установить минимальный уровень
безопасности в вашей беспроводной сети. Для многих применений этого достаточно.
Тем не менее, надо понимать, что сеть с таким уровнем безопасности остается
уязвимой и непригодна для обработки конфиденциальной информации.
Проникновение в сеть может происходить следующим образом.
Злоумышленник записывает с эфира некоторый объем зашифрованного трафика. Далее
производится анализ этого трафика и подбор ключа шифрования. При длине ключа 64 bit
эта задача решается за несколько часов. Использование более длинного
ключа сильно увеличивает необходимое на взлом время, но потенциальная
возможность сохраняется.
После получения ключа шифрования WEP
(или параллельно с этим) злоумышленник узнает тем или
иным способом один из разрешенных MAC-адресов.
Остается заменить MAC-адрес своего сетевого адаптера
на разрешенный и можно получать несанкционированный доступ к беспроводной сети.
Задачу взлома, как видим, нельзя назвать простой. Но и
неразрешимой ее тоже не назовешь.
Дополнительные средства
К доступным в настоящее время средствам повышения
безопасности беспроводных сетей относятся стандарты 802.1x
и WPA.
Стандарт 802.1x
используется для надежной аутентификации абонентов беспроводной сети.
Для его работы требуется сервер доступа RADIUS (Remote Access Dial-In
User Server). Прежде чем получить доступ к сети, пользователь должен пройти
проверку на сервере RADIUS и только в случае успешной аутентификации ему
разрешается доступ в сеть.
Примером реализации RADIUS является
Microsoft Internet Authentication Service (IAS),
встроенный в Microsoft Windows 2000/2003 Server.
Другой пример RADIUS, работающего под
Windows - AEGIS Server от Meetinghouse (www.mtghouse.com).
Аутентификация пользователей позволяет применять к ним
различные политики безопасности.
Протокол шифрования WPA (Wi-Fi Protected Access) используется
вместо WEP. Он реализует шифрование при помощи
уникальных для каждого устройства и динамически изменяющихся ключей (в
WEP ключи статические).
Существует вариант протокола, позволяющий задавать ключи
шифрования вручную, без развертывания
RADIUS -
WPA-PSK (Pre-Shared Key). Этот вариант удобен
для малых сетей.
Стандарты 802.1x и WPA обеспечивают надежную защиту
передаваемых по радиоканалу данных, платить за это приходится общим усложнением
системы.
Поскольку стандарты относительно новые, необходимо учитывать,
что не все производители включили их поддержку в свои устройства или поддержка
реализована не полностью. В частности, новые версии прошивок точек доступа
D-Link содержат поддержку 802.1x
и WPA (WPA-PSK), но соответствующих драйверов
сетевых адаптеров пока нет.
За пределами Wi-Fi
Для еще большей безопасности, в дополнение ко всем
перечисленным технологиям, Вы можете создать внешнюю защитную оболочку
беспроводной сети, используя технологию виртуальных
частных сетей - VPN. Подробно
останавливаться на этом не буду, т. к. реализация
VPN не зависит от того, проводное используется
соединение или беспроводное (или и то, и другое).
И последний момент. Никто не отменял необходимость
использования на клиентских компьютерах антивирусного программного обеспечения и
персональных межсетевых экранов (personal firewall).
Для мобильных устройств это особенно актуально. И если необходимость
антивирусного ПО почти ни у кого вопросов не вызывает, то о персональных
межсетевых экранах пару слов сказать нужно.
Данный тип программного обеспечения представителен следующими
продуктами: Outpost Firewall Pro (www.agnitum.com/ru/),
ZoneAlarm (www.zonelabs.com),
Norton Internet Security (www.symantec.com).
Любой из них обеспечивает необходимую защиту от попыток взлома, нарушения
конфиденциальности и некоторых видов вирусной активности. Первые два продукта
имеют бесплатные версии.
Пожалуйста, присылайте вопросы, пожелания, предложения,
замечания. Делитесь своим опытом. Все Ваши письма, которые попадут в мой почтовый ящик, будут
прочитаны. На некоторые письма будут даны ответы лично или через рассылку. Если Вы не хотите,
чтобы Ваше письмо (или его часть) попало в рассылку, дайте запрет на публикацию.