На большинстве точек доступа присутствует функция контроля доступа по MAC-адресам. На устройстве задается список MAC-адресов, которым разрешена (или запрещена) работа в данной беспроводной сети.

Сам по себе этот метод не является достаточным для обеспечения безопасности беспроводной сети, так как узнать и подделать MAC-адрес легитимного устройства не слишком сложно. Но как дополнительный уровень безопасности использовать его полезно.

4.4. Отключение рассылки SSID

Многие точки доступа позволяют запретить широковещательную рассылку имени сети SSID. По умолчанию точка доступа транслирует SSID в эфир в открытом виде, запрет широковещательной рассылки затруднит посторонним пользователям подключение к вашей сети. Но, конечно, не исключит возможность такого подключения, поскольку SSID легко прослушать в момент подключения легитимного пользователя.

В некоторых случаях запрет широковещательной рассылки SSID может вызвать проблемы при восстановлении потерянного соединения у легальных пользователей. Тогда вам придется либо экспериментировать с версиями прошивок точки доступа и драйверов сетевых адаптеров, либо смириться с тем, что рассылка SSID все-таки будет производиться.

4.5. VPN

Средства безопасности на базе протоколов WEP, WPA и 802.1x обеспечивают шифрование данных при передаче по радиоканалу и предоставляют функции аутентификации пользователей. Это обеспечивает достаточно высокий уровень безопасности, поэтому в большинстве сетей можно ограничиться этим. Для еще большей безопасности, в дополнение к технологиям, вы можете создать внешнюю защитную оболочку беспроводной сети, используя технологию виртуальных частных сетей – VPN (Virtual Private Network).

Технология VPN разработана для обеспечения безопасного соединения клиентских систем с серверами по незащищенным каналам связи. Она может применяться как единый механизм обеспечения безопасности высочайшего уровня во всей сети предприятия. Реализация VPN не зависит от того, проводное используется соединение или беспроводное (или и то, и другое).

Мы не будем обсуждать вопросы построения сетей VPN как выходящие за рамки этой книги.

4.6. Полезные советы

В качестве итога обсуждения вопросов безопасности сетей Wi-Fi приведем некоторые полезные советы для случаев, когда нет задачи сделать беспроводную сеть общедоступной:

• если это приемлемо для вашей сети, используйте технологию VPN, так вы получите максимальный уровень безопасности;
• если есть возможность установить в сети сервер RADIUS, используйте WPA или хотя бы WEP в сочетании с 802.1x;
• если в ваших устройствах изначально нет поддержки WPA, проверьте обновления прошивок и драйверов – если появились новые версии с поддержкой WPA, используйте их;
• измените SSID, заданный по умолчанию, и отключите широковещательную рассылку SSID (но при этом убедитесь, что сеть продолжает работать нормально);
• задействуйте функцию контроля доступа по MAC-адресам;
• ограничьте площадь покрытия беспроводной сети только той территорией, где сеть действительно нужна. Этого можно добиться правильным расположением точек доступа, применением направленных антенн и ограничением мощности передатчика (некоторые точки доступа имеют такую функцию);
• измените пароль по умолчанию в интерфейсе управления точкой доступа;
• не используйте ключи WEP короче 128 бит, совместно с WEP используйте режим аутентификации Shared Key (а не Open System);
• относитесь к ключу WEP и ключевой фразе WPA-PSK так же, как к любым другим паролям, – не сообщайте посторонним, не используйте простых комбинаций, периодически изменяйте ключи, немедленно меняйте их в случае компрометации;
• не сообщайте посторонним информацию о настройках безопасности вашей сети, т.к. злоумышленнику легче использовать человеческий фактор, чем технические методы взлома.

На этом теоретическую часть книги можно считать оконченной. В последующих разделах мы обсудим вопросы выбора конкретных моделей беспроводного оборудования и его настройки для работы в реальных условиях.

(продолжение следует)

Пожалуйста, присылайте вопросы, пожелания, предложения, замечания. Делитесь своим опытом. Все Ваши письма, которые попадут в мой почтовый ящик, будут прочитаны. На некоторые письма будут даны ответы лично или через рассылку. Если Вы не хотите, чтобы Ваше письмо (или его часть) попало в рассылку, дайте запрет на публикацию.