Какие меры нужно принимать для защиты беспроводной компьютерной сети
Обновлено: 03.07.2024
К счастью, последнее время мы стали реже слышать подобные фразы от заказчиков, когда разговор касается производительности и безопасности Wi-Fi сетей, но не все так безоблачно. Все еще много компаний, чьи ИТ-специалисты не считают нужным обеспечить должным образом защиту беспроводного сегмента корпоративной сети.
В этой публикации мы расскажем о том, как защитить Wi-Fi сеть и дадим для этого конкретные рекомендации.
Чаще всего мы сталкиваемся с ситуацией, когда в организациях беспроводные сети организованы следующим образом:
- Беспроводная сеть построена на базе SOHO (Small office/home office ) маршрутизаторов/точек доступа, не предназначенных для работы в нагруженных сетях
- Используется аутентификация на основе разделяемых общих ключей (Pre-Shared key)
- Из беспроводной сети есть ничем не ограниченный доступ к серверам и другим ресурсам
- Доступ в сеть Интернет настроен без каких-либо ограничений/проверок
- За обновлениями версий прошивок на оборудовании нет должного контроля
- Используются настройки оборудования по умолчанию
Это применимо не ко всем компаниям и не все пункты сразу, но пара-тройка замечаний есть как правило у всех. Давайте разберем несколько ситуаций и представим, что в таком случае может произойти.
Самый простой доступ к сети
Любой не авторизованный пользователь, проще говоря злоумышленник, может получить доступ к локальной сети организации даже находясь за её пределами! Общие ключи аутентификации как правило не меняются в течение длительных периодов времени и известны широкому кругу лиц. Далее, используя простые методы, можно осуществить атаку на любой сервер/ПК и получить доступ практически к любой информации.
Не защищённый BYOD (bring your own device)
Так же к сети подключается большое количество личных устройств сотрудников и гостей, защищённость которых невозможно проконтролировать. Возникает риск проникновения вредоносного ПО в локальную сеть через такие устройства, например, шифровальщиков и криптомайнеров.
Неконтролируемая эксплуатация
Устаревшие версии прошивок содержат массу уязвимостей, через которые можно получить доступ к управлению и, как следствие, потерю контроля над беспроводной сетью. Так же устаревшие версии могут быть не стабильны, оборудование может “зависать и глючить”.
Некорректный ввод в эксплуатацию
Не изменённые в процессе запуска сети пароли и IP адреса, используемые по умолчанию, легко ищутся в документации, особенно, когда известна модель установленного оборудования, которая может быть определена простым сканированием.
Отсутствие современных мер защиты
И наконец, как вариант, можно просто заблокировать работу беспроводной сети путём осуществления DoS атаки на оборудование, так как SOHO устройства не обладают функционалом защиты!
Как же обезопасить Wi-Fi сеть организации и защитить коммерческую информацию от взлома потенциальными злоумышленниками? — Сейчас расскажем!
Этим шагом вы исключите возможность компрометации управления оборудованием. Никто кроме авторизованных администраторов не сможет изменять параметры беспроводной сети.
Шаг №2 Следите за обновлениями
Регулярно проверяйте наличие обновлений и обновляйте версии операционных систем (прошивок) оборудования беспроводной сети.
Выполняя эту нехитрую операцию, вы исключаете возможность эксплуатации злоумышленниками известных и распространенных уязвимостей, а оборудование будет работать стабильно и без зависаний.
Шаг №3 Настройте актуальные технологии и алгоритмы шифрования
Используйте только проверенные технологии доступа и алгоритмы шифрования такие как WPA2/WPA3 и AES. Не рекомендуем использовать WEP/WPA/TKIP
Эти настройки помогут вам исключить возможности взлома ключа, которые могут длится всего несколько десятков минут.
Шаг №4 Разделите Wi-Fi сети
Мы настоятельно рекомендуем вам разделить беспроводную сеть на гостевую и корпоративную. Гостевая сеть может иметь доступ только в сеть Интернет. Корпоративная может иметь доступ к локальной сети. Используйте сегментирование (VLAN) для разных сетей.
Следуя этой рекомендации, вы добавите еще один плюс в копилку безопасности вашей организации, так как гостевые устройства, личные смартфоны, и ноутбуки сотрудников не будут иметь никакого доступа к ресурсам локальной сети. Такие устройства обычно сложно или совсем невозможно проконтролировать на предмет соответствия правилам безопасности.
Корпоративные смартфоны, планшеты и ноутбуки, имеющие доступ к ресурсам локальной сети, подлежат строгим проверкам.
Шаг №5 Используйте строгую аутентификацию пользователей
Настройте строгую аутентификацию/авторизацию пользователей для корпоративной сети и временные пароли для гостевой. Например, для корпоративной сети можно использовать учётные записи и пароли на основе данных из Microsoft Active Directory. Для этого потребуется сервер, работающий по протоколу RADIUS. Например, Cisco ISE или Microsoft NPS.
Это позволит получить полную картину действий пользователей и их устройств в беспроводной сети, что поможет в предотвращении и расследовании возможных инцидентов информационной безопасности. Так же на беспроводную сеть будет распространена парольная политика из Microsoft AD.
Учётные записи для гостей с ограниченным сроком действия можно создавать из интерфейса контроллера беспроводной сети. При этом не будет возможности получения постоянного доступа по одним и тем же паролям в течение длительного периода времени, что минимизирует возможности нелегитимных действий сторонних пользователей.
Шаг №6 Не забывайте о межсетевом экранировании
Доступ к локальной сети из беспроводной должен быть организован только с использованием межсетевого экрана, на котором разрешены исключительно необходимые для работы правила.
Наиболее защищённый вариант, – это подключение устройств беспроводной сети к выделенным коммутаторам без связи с коммутаторами локальной сети.
При этом доступ к локальной сети может быть настроен через межсетевой экран и технологию VPN
Шаг №7 Не забывайте о межсетевом экранировании, часть 2
Доступ в сеть Интернет из всех сегментов беспроводной сети должен быть организован только через межсетевой экран (NGFW) на котором активирован функционал расширенной фильтрации, такой как система предотвращения вторжений, контроль DNS запросов и антивирус. Если нет возможности установить межсетевой экран, то, как минимум, используйте облачный сервис Cisco Umbrella для защиты пользователей беспроводной сети.
Такие меры не позволят вредоносному программному обеспечению проникнуть в корпоративную сеть, а также защитят неконтролируемые и, как правило, слабо защищённые гостевые и личные устройства.
Шаг №8 Используйте дополнительный функционал защиты контроллера Wi-Fi сети
Настройте функционал системы предотвращения вторжений (Wireless IPS), а также защиту управляющих кадров (Management Frame Protection), входящих в состав любого полноценного контроллера беспроводной сети.
WIPS будет защищать от поддельных Wifi сетей и блокировать атаки, соответствующие известным шаблонам (сигнатурам), MFP не позволит нарушить работу сети путём подмены управляющих кадров.
Шаг №9 Ведите мониторинг
На регулярной основе осуществляйте мониторинг как событий доступа к беспроводной сети, так и потоков трафика в локальную сеть и в сеть Интернет. Для этого подойдёт либо самый простой Syslog сервер, входящий в базовый набор любого дистрибутива Linux либо профессиональное решение, например SolarWinds.
Это позволит проанализировать уже произошедшие инциденты и предотвратить появление новых.
Шаг №10 Чтобы было что защищать, нужно это качественно построить
Если показатели качества работы вашей Wi-Fi сети не соответствуют предъявляемым к ней требованиям, мы рекомендуем провести аудит и выяснив причину низкой производительности устранить её.
В том случае, если вы еще только планируете строительство беспроводной сети в вашей организации, отнеситесь к этой задаче с должным уровнем ответственности — отдайте эту задачу профессионалам.
Направление профессиональных сервисов в части беспроводных сетей является одним из фокусных для нашей компании, поэтому команда радиоинженеров LWCOM готова в любой момент подключиться к вашему проекту.
Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, или WPA2? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.
Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же.
Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.
Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.
Защита Wi-Fi сети: WEP, WPA, WPA2
Есть три варианта защиты. Разумеется, не считая "Open" (Нет защиты) .
- WEP (Wired Equivalent Privacy) – устаревший и небезопасный метод проверки подлинности. Это первый и не очень удачный метод защиты. Злоумышленники без проблем получают доступ к беспроводным сетям, которые защищены с помощью WEP. Не нужно устанавливать этот режим в настройках своего роутера, хоть он там и присутствует (не всегда) .
- WPA (Wi-Fi Protected Access) – надежный и современный тип безопасности. Максимальная совместимость со всеми устройствами и операционными системами.
- WPA2 – новая, доработанная и более надежная версия WPA. Есть поддержка шифрования AES CCMP. На данный момент, это лучший способ защиты Wi-Fi сети. Именно его я рекомендую использовать.
WPA/WPA2 может быть двух видов:
- WPA/WPA2 - Personal (PSK) – это обычный способ аутентификации. Когда нужно задать только пароль (ключ) и потом использовать его для подключения к Wi-Fi сети. Используется один пароль для всех устройств. Сам пароль хранится на устройствах. Где его при необходимости можно посмотреть, или сменить. Рекомендуется использовать именно этот вариант.
- WPA/WPA2 - Enterprise – более сложный метод, который используется в основном для защиты беспроводных сетей в офисах и разных заведениях. Позволяет обеспечить более высокий уровень защиты. Используется только в том случае, когда для авторизации устройств установлен RADIUS-сервер (который выдает пароли) .
Думаю, со способом аутентификации мы разобрались. Лучшие всего использовать WPA2 - Personal (PSK). Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA/WPA2. На многих маршрутизаторах этот способ установлен по умолчанию. Или помечен как "Рекомендуется".
Шифрование беспроводной сети
Есть два способа TKIP и AES.
Рекомендуется использовать AES. Если у вас в сети есть старые устройства, которые не поддерживают шифрование AES (а только TKIP) и будут проблемы с их подключением к беспроводной сети, то установите "Авто". Тип шифрования TKIP не поддерживается в режиме 802.11n.
В любом случае, если вы устанавливаете строго WPA2 - Personal (рекомендуется) , то будет доступно только шифрование по AES.
Какую защиту ставить на Wi-Fi роутере?
Используйте WPA2 - Personal с шифрованием AES. На сегодняшний день, это лучший и самый безопасный способ. Вот так настройки защиты беспроводной сети выглядит на маршрутизаторах ASUS:
А вот так эти настройки безопасности выглядят на роутерах от TP-Link (со старой прошивкой) .
Более подробную инструкцию для TP-Link можете посмотреть здесь.
Инструкции для других маршрутизаторов:
Если вы не знаете где найти все эти настройки на своем маршрутизаторе, то напишите в комментариях, постараюсь подсказать. Только не забудьте указать модель.
Так как WPA2 - Personal (AES) старые устройства (Wi-Fi адаптеры, телефоны, планшеты и т. д.) могут не поддерживать, то в случае проблем с подключением устанавливайте смешанный режим (Авто).Не редко замечаю, что после смены пароля, или других параметров защиты, устройства не хотят подключаться к сети. На компьютерах может быть ошибка "Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети". Попробуйте удалить (забыть) сеть на устройстве и подключится заново. Как это сделать на Windows 7, я писал здесь. А в Windows 10 нужно забыть сеть.
Пароль (ключ) WPA PSK
Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.
Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.
Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: как узнать свой пароль от Wi-Fi.
Так же не забудьте установить хороший пароль, который будет защищать веб-интерфейс вашего маршрутизатора. Как это сделать, я писал здесь: как на роутере поменять пароль с admin на другой.
Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 - Personal в паре с AES и сложным паролем – вполне достаточно.
А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте 🙂
Как показывает практика, большинство пользователей забывают или пренебрегают защитой своей домашней сети сразу после установки пароля на Wi-Fi.
Защита беспроводной сети – не самая простая, но очень важная задача.
Получив доступ к вашей сети, злоумышленник может безнаказанно размещать нелегальный контент или занять ваш канал и значительно снизить скорость соединения, за которое вы, кстати, платите. Он также может получить доступ не только к вашему компьютеру, но и ко всем устройствам в вашей сети.
Вместо того, чтобы испытывать судьбу – давайте пройдёмся по простым и очевидным мероприятиям, которыми пользователи частенько пренебрегают.
Скрываем SSID
Включаем шифрование
WEP (WIRED EQUIVALENT PRIVACY).
Вышел еще в конце 90-х и является одним из самых слабых типов шифрования. Во многих современных роутерах этот тип шифрования вовсе исключен из списка возможных вариантов шифрования. Основная проблема WEP — заключается в ошибке при его проектировании. WEP фактически передаёт несколько байт ключа шифрования (пароля) вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности пароля можно взломать любую точку доступа зашифрованную при помощи WEP, перехватив достаточное для взлома пароля число пакетов.
WPA и WPA2 (WI-FI PROTECTED ACCESS)
Одни из самых современных на данный момент типов шифрования и новых пока не придумали. WPA/WPA2 поддерживают два разных режима начальной аутентификации (проверка пароля для доступа клиента к сети) — PSK и Enterprise.
Настраиваем фильтр MAC адресов
Включаем гостевой доступ
Отключаем удаленное администрирование
Описанные выше меры по повышению безопасности вашей Wi-Fi сети не могут гарантировать абсолютную защиту вашей сети. Не стоит пренебрегать профилактикой и изредка просматривать список подключенных устройств к вашей сети. В интерфейсе управления роутером можно найти информацию о том, какие устройства подключались или подключены к вашей сети.
Wi-Fi мы используем не только дома или на работе. Не стоит забывать об опасности использования публичных Wi-Fi сетей в кафе, торговых комплексах, аэропортах и других общественных местах. Все мы любим халявный бесплатный Wi-Fi, посидеть в социальных сетях, проверить почту за чашечкой кофе или просто полазить по любимым сайтам, ожидая посадки на рейс в аэропорту. Места с бесплатным Wi-Fi привлекают кибермошенников, так как через них проходят огромные объемы информации, а воспользоваться инструментами взлома может каждый.
Наиболее распространёнными вариантами атак и угрозами в публичных Wi-Fi сетях можно назвать:
Sniffing – перехват данных в wi-fi сети. Перехватывая пакеты на пути от вашего устройства к роутеру злоумышленник может перехватить абсолютно любую информацию, в том числе логины и пароли от сайтов.
Ewil twin – сеть созданная злоумышленником, который находится неподалёку от вас. Создав такую сеть ему остаётся лишь дождаться, пока кто-нибудь к ней подключится. Соответственно вся информация о всех ваших действиях будет проходить через ноутбук злоумышленника.
Что мы можем посоветовать, если вы всё-таки решили поработать из кофейни или аэропорта? Рекомендации опять же общеизвестны, но мало кем соблюдаются.
Помните! Злоумышленники для взлома используют человеческий фактор, и только потом прибегают к сложным техническим манипуляциим. Будьте бдительны и не забывайте элементарные меры по защите ваших устройств и данных.
(4 голосов, общий рейтинг: 4.50 из 5)
Беспроводные сети удобнее проводных, но они также могут быть уязвимыми для хакеров и вредоносных программ (например, червей). Поскольку беспроводные сети используют радиоволны, которые могут проходить сквозь стены, сетевой сигнал может выйти за пределы дома.
Если не пытаться защитить сеть, пользователи компьютеров, неподалеку, смогут получить доступ к данным, которые хранятся на компьютерах сети, и пользоваться вашим подключением к интернету. С помощью настройки ключа безопасности в беспроводной сети можно защитить от несанкционированного доступа.
Способы защиты беспроводной сети
Беспроводную сеть следует настраивать таким образом, чтобы только избранные пользователи имели к ней доступ.
Ниже описано несколько параметров безопасности беспроводной сети:
Технология защищенного доступа Wi-Fi (WPA и WPA2)
Технология защищенного доступа Wi-Fi шифрует информацию и проверяет, не изменен сетевой ключ безопасности. Кроме того, технология защищенного доступа Wi-Fi выполняет аутентификацию пользователей, чтобы обеспечить доступ к сети только авторизованным пользователям.
Существует два типа аутентификации WPA: WPA и WPA2 .
Тип WPA предназначен для работы со всеми беспроводными сетевыми адаптерами, но он не совместим с более старыми маршрутизаторами или точками доступа. Тип WPA2 безопаснее типа WPA, но он несовместим с некоторыми старыми сетевыми адаптерами.
Технология WPA предназначена для использования с сервером аутентификации 802.1х, который создает различные ключи для каждого пользователя. Тогда она называется WPA-Enterprise или WPA2-Enterprise. Она может также использоваться в режиме заранее установленного общего ключа (PSK), когда каждый пользователь получает одинаковую идентификационную фразу. Тогда это называется WPA-Personal или WPA2-Personal.
Протокол Wired Equivalent Privacy (WEP)
WEP как старый метод безопасности сети, по-прежнему доступен для поддержки старых устройств, больше использовать не рекомендуется. При включении протокола WEP устанавливается сетевой ключ безопасности. Этот ключ шифрования, которые направляются через сеть с одного компьютера на другой. Однако безопасность WEP относительно легко взломать.
Внимание! По возможности рекомендуется использовать WPA2. Не рекомендуется использовать WEP. WPA или WPA2 безопаснее. Если при попытке запуска WPA или WPA2 они не работают, рекомендуется обновить сетевой адаптер для работы с одним из работающих технологий WPA или WPA2.
Аутентификация 802.1х
Аутентификация 802.1х может повысить уровень защиты беспроводных сетей стандарта 802.11 и сетей Ethernet. Аутентификация 802.1х использует сервер аутентификации для проверки пользователей и предоставления разрешения на доступ к сети. В беспроводных сетях подлинности 802.1х можно использовать с ключами протокола WPA, WPA2 или WEP. Этот тип аутентификации обычно используется для подключения к сети на рабочем месте.
Читайте также: