Безпечна мобільність: 10 кроків до захищеної точці бездротового доступу

Відео: Week 10

ОСТАННІМ ЧАСОМ ВСЕ БІЛЬШЕ ПОШИРЕННЯ ОТРИМУЮТЬ БЕЗДРОТОВІ МЕРЕЖІ. НЕ ПОТРІБНО прокладати кабель ОКРЕМО До КОЖНІЙ РОБОЧОЇ СТАНЦІЇ, ДОСИТЬ ВСТАНОВИТИ ОДНУ ТОЧКУ бездротовий доступ і простежити, щоб ВСЕ КОМП`ЮТЕРИ БУЛИ В ЗОНІ ДІЇ. АЛЕ ВСЕ НЕ ТАК-ТО ПРОСТО! ПРО ТЕ, ЯК ГРАМОТНО ОРГАНІЗУВАТИ бездротову мережу, ЧИТАЙ НИЖЧЕ.

1. Змініть параметри за замовчуванням
Потрібно обов`язково змінити пароль адміністратора і ідентифікатор SSID, що задає ім`я мережі. Пароль адміністратора і ідентифікатор SSID, встановлені за замовчуванням, в більшості випадків вільно доступні в інтернеті. А це означає, що зловмиснику досить знати модель вашої бездротової точки, щоб отримати до неї доступ. При зміні SSID пам`ятайте, що новий SSID не повинен містити назву вашої компанії, адресу, ваше прізвище, номер телефону та іншу загальнодоступну інформацію. Поставтеся до SSID як до паролю: використовуйте символи різного регістра і цифри.

2. Вимкніть широкомовлення SSID
Багато точки доступу транслюють свій SSID всім. Тому до вашої точки доступу може підключитися будь-який небажаний гість - людина просто запустить пошук мережі і знайде вашу точку доступу.

3. Використовуйте WPA
Протоколи WPA (Wi-Fi Protected Access), WPA2 і WEP (Wired Equivalent Privacy) забезпечують захист і шифрування даних, що передаються бездротовою точкою доступу і бездротових клієнтом. Переважно використовувати WPA2, але якщо цей протокол не підтримується, то потрібно використовувати WPA. Зламати захист WEP можна за допомогою ряду стандартних інструментів. Для використання WPA необхідно, щоб всі клієнти були сумісні з цим протоколом (не кажучи вже про точку доступу). Не турбуйтеся: все сучасні точки доступу підтримують WPA.

ПРОТОКОЛ WPA ПРИЙШОВ НА ЗМІНУ WEP. ДЛЯ УПРАВЛІННЯ КЛЮЧЕМ І ШИФРУВАННЯ В WPA ВИКОРИСТОВУЄТЬСЯ ДЕКІЛЬКА алгоритмів, В ЇХ ЧИСЛІ TKIP (TEMPORAL KEY INTEGRITY PROTOCOL) І AES (ADVANCED ENCRYPTION STANDARD).




WPA і WEP використовуються для шифрування даних, які курсують між точкою доступу і бездротових клієнтом. Для цього використовується спеціальний ключ. Заволодівши ключем, зловмисник зможе не тільки встановити з`єднання з бездротовою точкою доступу, а й розшифрувати дані, що передаються між її клієнтами. Іноді протокол WPA сам автоматично змінює ключ. Навіть якщо зловмисник якимось чином дізнається ключ, то він зможе діяти тільки до моменту подібного автоматичної зміни (у багатьох точках доступу ключі міняються один раз на годину).

4. Фільтрація MAC-адрес
Ви можете вказати список MAC-адрес адаптерів комп`ютерів, яким дозволений доступ до вашої точки. Потрібно відзначити, що фільтрація MAC-адрес не забезпечує надійного захисту, а служить просто додатковим бар`єром. Досвідчений зловмисник завжди зможе перехопити MAC-адреси і підмінити свою адресу одним з дозволених. Зате фільтрація MAC-адрес ефективно спрацьовує проти дилетантів. Це як сигналізація в автомобілі: яка б вона не була хороша, досвідчений зловмисник обійде її, а ось дилетанти і близько до машини не підійдуть.




5. Оновлення прошивки обладнання
Навіть якщо у вас найсучасніша точка доступу, все одно рекомендується періодично заходити на сайт виробника - раптом є свіжа версія прошивки. Адже в поточній версії можуть бути знайдені помилки, які будуть усунені в новій версії. Також можуть бути додані нові методи шифрування.

6. Використання аутентифікації
Протоколи WPA і WPA2 значно краще, ніж WEP, але і вони уразливі. В інтернеті можна знайти покрокові інструкції злому протоколів WPA і WEP. Так, злом WPA вдасться не кожному, але він все ж можливий. Єдиний вихід - використання аутентифікації. Аутентифікація вимагає від клієнта реєстрації в мережі. Аутентифікація може здійснюватися за допомогою сертифікатів або за допомогою паролів, які перевіряються на сервері аутентифікації. Протоколи WEP, WPA і WPA2 підтримують кілька типів аутентифікації EAP (Extensible Authentication Protocol).

7. Зниження потужності передачі
Деякі точки доступу дозволяють знизити потужність передачі, що дозволить зменшити і число умисних несанкціонованих підключень до них. Знизивши потужність передачі, можна домогтися того, що ваша точка буде доступна тільки в межах офісу вашої компанії. Хоча використання потужної спрямованої антени, що дозволяє виявити навіть найслабший сигнал, зводить нанівець всі ваші старання. Але так ви стовідсотково захистите себе від випадкових підключень до вашої точки доступу.

8. Вимикайте точку доступу, коли ви не працюєте
Ви працюєте вночі? Ні? Тоді вимикайте точку доступу на цей час доби! При бажанні можна налаштувати автоматичне вимикання. Так ви на 100% будете впевнені, що ніхто не проникне в мережу, поки вас немає поруч.

9. Захист портів управління
Інтерфейси управління бездротової мережі не повинні бути доступні по бездротовій мережі. Бажано, щоб управління здійснювалось тільки по внутрішній (кабельної) мережі. Також потрібно забезпечити доступ до портів управління 2-3-м конкретним станцій - навіщо дозволяти доступ до портів управління всім комп`ютерам мережі?

10. Захист від зовнішніх загроз
Пам`ятайте, що антивіруси і брандмауери ніхто не відміняв і в випадку з бездротовим зв`язком. Бажано встановити не тільки загальний брандмауер / антивірус на сервері, а й клієнтські брандмауери і антивіруси для захисту кожного комп`ютера мережі окремо. Після установки не забудьте налаштувати їх повинні чином, а то толку від них не буде.