Обзор угроз и технологий защиты wi fi сетей

Обновлено: 07.07.2024

Беспроводные технологии Wi-Fi связи являются не только модной новинкой, но и эффективным инструментом, значительно расширяющим возможности пользователей.

Мобильные устройства, такие как ноутбуки и карманные компьютеры, становятся неотъемлемым атрибутом человека. Возрастание численности интернет-кафе и других хот-спотов сегодня зачастую являются основными инструментами, обеспечивающими мобильность интернет услуг.

Основными элементами, обеспечивающими беспроводной доступ пользователя к сети Интернет являются беспроводные точки доступа. Они представляют собой входные «ворота» внутрь сети, позволяя подключаться всем пользователям, включая злоумышленников.

Точка доступа управляет беспроводным трафиком на границе проводной и

беспроводной сети, поэтому любой злоумышленник, который может получить к ней доступ, может похитить персональную информацию других пользователей, которая циркулирует в трафике беспроводной сети [1].

За последние несколько лет, стоимость Wi-Fi устройств значительно снизилась. С 2008 года, в каждый ноутбук оборудован встроенным Wi-Fi адаптером. Это обстоятельство обуславливает возрастающую доступность и мобильность интернет – пользователя. Однако безопасность беспроводных сетей представляет серьезную проблему, требующую тщательного изучения.

Целью данной статьи является анализ характеристик беспроводных сетей и их аппаратных компонентов, потенциальных угроз для их пользователей и выработке рекомендаций по их защите от потенциальных злоумышленников.

Общие принципы и определения беспроводных сетей Wi-Fi

Wi-Fi - название технологии беспроводной связи. В основу ее функционирования положен протокол 802.11. В настоящее время наиболее распространен стандарт 802.11g, обеспечивающий скорость до 54 мегабит/сек. Wi-Fi 802.11g работает на частоте 2.5 ГГц [2]. Различают несколько типов Wi-Fi устройств:

Точки доступа. Обеспечивают подключение беспроводных устройств к проводным сетям. Имеют несколько дополнительных режимов работы, например создание Wi-Fi сети, когда только одна из точек подключена к проводной сети.

Маршрутизатор. Тоже самое, что и точка доступа, но имеет расширенные функции, например NAT, фильтрации и прочее.

Клиентские устройства. Соответственно могут подключаться к точкам доступа. Могут создавать сети точка-точка (AD-HOC), между несколькими клиентскими устройствами. Можно придать клиентскому устройству любую функцию: Station (клиент), AD-HOC (точка-точка), AP (точка доступа), Bridge (ретранслятор), Monitor (перехват всего трафика в радиусе действия сети).

Wi-Fi сеть характеризуется следующими параметрами: 1) ESSID - "имя сети". 2) BSSID - уникальный идентификатор сети - MAC-адрес точки доступа; 3) Скорость доступа. От 54 мегабит, до 1 мегабита; 4) Тип шифрования: "Отсутствует", WEP, WPA/WPA2; 5) Канал: Разные каналы - разная частота, это необходимо, чтобы разные сети не мешали друг другу; 6) Радиус действия: До 30 метров в помещении и 100 метров на открытом пространстве. При подключении к точке доступа узко-направленной антенны, дальность действия может возрастать до 5 километров в пределах прямой видимости.

Основные угрозы безопасности в беспроводных сетях Wi-Fi

К числу основных угроз для администраторов и пользователей беспроводных сетей относятся [3]:

- доступ к ресурсам и дискам пользователей Wi-Fi-сети, а через неё — и к ресурсам LAN;

- прослушивание трафика, извлечение из него конфиденциальной информации;

- искажение проходящей в сети информации;

- воровство интернет - трафика;

- атака на персональные компьютеры пользователей и серверы сети (например, Denial of Service или даже глушение радиосвязи);

- внедрение поддельной точки доступа;

- рассылка спама и противоправная деятельность от имени сети.

Технологии защиты в беспроводных сетях Wi-Fi

WEP. Позволяет шифровать трафик в рамках локальной сети. Данные статической составляющей шифруются ключом с разрядностью от 40 до 104 бит. Для повышения защищенности применяется вектор инициализации Initialization Vector для рандомизации дополнительной части ключа. Это обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, возможно общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит. Основное слабое место этой технологии — это вектор инициализации. 24 бита, подразумевает около 16 миллионов комбинаций (2 в 24 степени) — после использования этого количества ключ начинает повторяться. Злоумышленнику необходимо найти эти повторы (в реальности от 15 минут до часа).

WPA. Это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA = 802.1X + EAP + TKIP + MIC, где:

WPA — технология защищённого доступа к беспроводным сетям (Wi-Fi Protected Access);

EAP — протокол расширенной аутентификации (Extensible Authentication Protocol;

TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol);

WPA2. Этот стандарт во многом построен на основе предыдущей версии, WPA, использующей элементы IEEE 802.11i. Стандарт предусматривает применение шифрования AES, аутентификации 802.1x, а также защитных спецификаций RSN и CCMP. Как предполагается, WPA2 должен существенно повысить защищенность Wi-Fi-сетей по сравнению с прежними технологиями. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

VPN. Технология виртуальных частных сетей Virtual Private Network (VPN) используется для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN очень хорошо себя зарекомендовали с точки зрения шифрования и надёжности аутентификации. И хотя технология VPN не предназначалась изначально именно для Wi-Fi, она может использоваться для любого типа сетей, и идея защитить беспроводную сеть с её помощью одна из лучших на сегодня.

Выводы

Таким образом, учитывая перечисленный комплекс мер пользователей и администраторов сетей имеются все необходимые средства для надёжной защиты беспроводных сетей Wi-Fi, и при отсутствии явных ошибок (в первую очередь человеческий фактор) всегда можно обеспечить уровень безопасности, соответствующий ценности информации, циркулирующей в такой сети.

В целом, для отдельно взятой беспроводной сети, проводимая политика безопасности должна быть индивидуальной и должна определяться в соответствии с ее структурой, а также программными и техническими средствами при ее практической реализации.

Литература

1. Гордейчик С. В. Безопасность беспроводных сетей / Дубровин В.В. ¾ Москва, 2008. - 288 с.

2. Баскаков И. В. Беспроводные сети Wi-Fi / Гордейчик. С.В., Пролетарский А. В., Чирков Д. Н. - Бином, - 178 с.

3. Медведовский И.Д. Атака из Internet / Семьянов П.В., Леонов Д.Г., Лукацкий А.В. ¾ Солон, 2002, - 368 с.

4. William Stallings. Network Security Essentials. Applications and Standards / William Stallings, - 2002, - 432 с.

На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи – что позволят быть относительно спокойным за сохранность данных при использовании данной технологии.

Анализ безопасности беспроводных сетей.

Однако данная безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей которые может получить хакер при халатности в настройке беспроводной сети:

- доступ к ресурсам локальной сети;

- прослушивание, воровство (имеется ввиду непосредственно интернет-траффик) трафика;

- искажение проходящей в сети информации;

- внедрение поддельной точки доступа;

- рассылка спама от имени вашей сети.

Немного теории.

1997 год – выход в свет первого стандарта IEEE 802.11. Варианты защиты доступа к сети:

1. Использовался простой пароль SSID (Server Set ID) для доступа в локальную сеть. Данный вариант не предоставляет должного уровня защиты, особенно для нынешнего уровня технологий.

2. Использование WEP (Wired Equivalent Privacy) – то есть использование цифровых ключей шифрования потоков данных с помощью данной функции. Сами ключи это всего лишь обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или 104-разрядному шифрованию на статическом уровне.

На данный момент существуют стандарты 802.11:

802.11 - Первоначальный базовый стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 Мбит/с.

802.11a - Высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.

I802.11b - Наиболее распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN

802.11f - Стандарт, описывающий порядок связи между равнозначными точками доступа.

802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.

802.11h - Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.

802.11i (WPA2) - Стандарт, исправляющий существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Затрагивает протоколы 802.1X, TKIP и AES.

На данный момент широко используется 4 стандарта: 802.11, 802.11a, 802.11b, 802.11g.

Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков. Ведущими являются такие гиганты как Intel и Cisco.

2004 год - появляется WPA2, или 802.11i, — максимально защищённый на данное время стандарт.

Технологии защиты Fi-Wi сетей.

Эта технология была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации IV (Initialization Vector), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, что позволяет при шифровании оперировать и постоянными, и случайно выбранными символами. Но с другой стороны 24 бита это всего лишь

16 миллионов комбинаций (2 24 степени) – то есть по истечению цикла генерации ключа начинается новый цикл. Взлом осуществляется достаточно элементарно:

1) Нахождение повтора (минимальное время, для ключа длинной 40 бит – от 10 минут).

2) Взлом остальной части (по сути - секунды)

3) Вы можете внедряться в чужую сеть.

При этом для взлома ключа имеются достаточно распространенные утилиты такие как WEPcrack.

802.1X

IEEE 802.1X — это основополагающий стандарт для беспроводных сетей. На данный момент он поддерживается ОС Windows XP и Windows Server 2003.

802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно — RC4, но с некоторыми отличиями (большая «мобильность», т.е. имеется возможность подключения в сеть даже PDA-устройства) и исправлениями (взлом WEP и т. п.).

802.1X базируется на протоколе расширенной аутентификации EAP (Extensible Authentication Protocol), протоколе защиты транспортного уровня TLS (Transport Layer Security) и сервере доступа RADIUS (Remote Access Dial-in User Service).

Отдельно необходимо упомянуть о безопасности RADIUS: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно и многопроцессное — вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (сleartext и CHAP), имеет среднюю степень защищенности. В RADIUS'е шифруется только cleartext-пароли, весь остальной пакет остается "открытым" (с точки зрения безопасности даже имя пользователя является очень важным параметром). А вот CHAP – это отдельный разговор. Идея в том, что бы cleartext-пароль ни в каком виде никогда не передавался бы через сеть. А именно: при аутентификации пользователя клиент посылает пользовательской машине некий Challenge (произвольная случайная последовательность символов), пользователь вводит пароль и с этим Challengе'ем пользовательская машина производит некие шифрующий действия используя введенный пароль (как правило это обыкновенное шифрование по алгоритму MD5 (RFC-1321). Получается Response. Этот Response отправляется назад клиенту, а клиент все в совокупности (Challenge и Response) отправляет на аутентификацию 3A-серверу (Authentication, Authorization, Accounting). Тот (также имея на своей стороне пользовательский пароль) производит те же самые действия с Challeng'ем и сравнивает свой Response с полученным от клиента: сходится — пользователь аутентифицирован, нет — отказ. Таким образом, cleartext-пароль знают только сам пользователь и 3А-сервер и пароль открытым текстом не "ходит" через сеть и не может быть взломан.

WPA (Wi-Fi Protected Access) — это временный стандарт (технология защищённого доступа к беспроводным сетям), который является переходным перед IEEE 802.11i. По сути, WPA совмещает в себе:

802.1X — основополагающий стандарт для беспроводных сетей;

EAP — протокол расширенной аутентификации (Extensible Authentication Protocol);

TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol);

Правда, TKIP сейчас не является лучшим в реализации шифрования, из-за новой технологии Advanced Encryption Standard (AES), используемой ранее в VPN.

Технология виртуальных частных сетей VPN (Virtual Private Network) была предложена компанией Intel для обеспечения безопасного соединения клиентских систем с серверами по общедоступным интернет-каналам. VPN наверное одна из самых надежных с точки зрения шифрования и надёжности аутентификации.

Технологий шифрования в VPN применяется несколько, наиболее популярные из них описаны протоколами PPTP, L2TP и IPSec с алгоритмами шифрования DES, Triple DES, AES и MD5. IP Security (IPSec) используется примерно в 65—70% случаев. С его помощью обеспечивается практически максимальная безопасность линии связи.

Технология VPN не была ориентированна именно для Wi-Fi - она может использоваться для любого типа сетей, но защита с её помощью беспроводных сетей наиболее правильное решение.

Для VPN выпущено уже достаточно большое количество программного (ОС Windows NT/2000/XP, Sun Solaris, Linux) и аппаратного обеспечения. Для реализации VPN-защиты в рамках сети необходимо установить специальный VPN-шлюз (программный или аппаратный), в котором создаются туннели, по одному на каждого пользователя. Например, для беспроводных сетей шлюз следует установить непосредственно перед точкой доступа. А пользователям сети необходимо установить специальные клиентские программы, которые в свою очередь также работают за рамками беспроводной сети и расшифровка выносится за её пределы. Хотя всё это достаточно громоздко, но очень надёжно. Но как и все - это имеет свои недостатки, в данном случае их два:

- необходимость в достаточно емком администрировании;

- уменьшение пропускной способности канала на 30-40%.

За исключением этого – VPN, это вполне понятный выбор. Тем более в последнее время, развитие VPN оборудования происходит как раз в направлении улучшения безопасности и мобильности. Законченное решение IPsec VPN в серии Cisco VPN 5000 служит ярким примером. Тем более что в данной линейке представлена пока только единственное сегодня решение VPN на основе клиентов, которое поддерживает Windows 95/98/NT/2000, MacOS, Linux и Solaris. Кроме этого бесплатная лицензия на использование марки и распространение программного обеспечения клиента IPsec VPN поставляется со всеми продуктами VPN 5000, что тоже не маловажно.

Основные моменты защиты Fi-Wi сетей организации.

В свете всего выше изложенного можно убедиться что имеющиеся на данный момент механизмы и технологии защиты позволяют обеспечить безопасность вашей сети, при использовании Fi-Wi. Естественно если администраторы не будут полагаться только на элементарные настройки, а озаботятся тонкой настройкой. Конечно нельзя сказать, что таким образом ваша сеть превратится в неприступный бастион, но выделив достаточно серьезные средства на оборудование, время для настройки и конечно для постоянного контроля – можно обеспечить безопасность с вероятностью примерно до 95 %.

Основные моменты при организации и настройке Wi-Fi сети которыми не стоит пренебрегать:

- Выбор и установка точки доступа:

> перед приобретением внимательно ознакомьтесь с документацией и имеющейся на данный момент информации о дырах в реализации ПО для этого класса оборудования (всем известный пример дыры в IOS маршрутизаторов Cisco, позволяющая злоумышленнику получить доступ к листу конфига). Возможно будет смысл ограничиться покупкой более дешевого варианта и обновлением ОС сетевого устройства;

> изучите поддерживаемые протоколы и технологии шифрования;

> при возможности приобретайте устройства, использующие WPA2 и 802.11i, так как они для обеспечения безопасности используют новую технологию - Advanced Encryption Standard (AES). На данный момент это могут быть двухдиапазонные точеки доступа (AP) к сетям IEEE 802.11a/b/g Cisco Aironet 1130AG и 1230AG. Данные устройства поддерживают стандарт безопасности IEEE 802.11i, технологию защиты от вторжений Wi-Fi Protected Access 2 (WPA2) с использованием Advanced Encryption Standard (AES) и гарантируют емкость, отвечающую самым высоким требованиям пользователей беспроводных локальных сетей. Новые АР используют преимущества двухдиапазонных технологий IEEE 802.11a/b/g и сохраняют полную совместимость с ранними версиями устройств, работающих на IEEE 802.11b;

> подготовьте предварительно клиентские машины для совместной работы с приобретаемым оборудованием. На данный момент некоторые технологии шифрования могут не поддерживаться ОС или драйверами. Это поможет избежать лишних затрат времени при разворачивании сети;

> не устанавливать точку доступа вне брандмауэра;

> располагайте антенны внутри стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «извне».

> используйте направленные антенны, не используйте радиоканал по умолчанию.

- Настройка точки доступа:

> если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Изначально не давайте возможность хакеру при внедрении в вашу сеть контролировать ключевые узлы по радиоканалу. Отключите вещание по радиоканалу такие протоколы как SNMP, web-интерфейс администрирования и telnet;

> обязательно(!) используйте сложный пароль для доступа к настройкам точки доступа;

> если точка доступа позволяет управлять доступом клиентов по MAC-адресам непременно используйте это;

> если оборудование позволяет запретить трансляцию в эфир идентификатора SSID – сделайте это обязательно. Но при этом у хакера всегда есть возможность получить SSID при подключении как легитимного клиент;

> политика безопасности должна запрещать беспроводным клиентам осуществлять ad-hoc соединения (такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик). Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями — недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.

- Выбор настройки в зависимости от технологии:

> если есть возможность - запретите доступ для клиентов с SSID;

> если нет другой возможности - обязательно включайте хотя бы WEP, но не ниже 128bit.

> если при установке драйверов сетевых устройств предлагается на выбор три технологиями шифрования: WEP, WEP/WPA и WPA, то выбирайте WPA;

> если в настройках устройства предлагается выбор: “Shared Key“(возможен перехват WEP-ключа, который одинаков для всех клиентов) и “Open System”(возможно внедрение в сеть, если известен SSID) — выбирайте “Shared Key”. В данном случае (если вы используете WEP-аутентификацию) – наиболее желательно включить фильтрацию по МАС-адресу;

> если ваша сеть не велика – можно выбрать Pre-Shared Key (PSK).

> если есть возможность использовать 802.1X. Но при этом при настройке RADIUS-сервера желательно выбирать тип аутентификации CHAP;

> максимальный уровень безопасности на данный момент обеспечивает применение VPN — используйте эту технологию.

- Пароли и ключи:

> при использовании SSID придерживайтесь требований аналогичных требованиям парольной защиты - SSID должен быть уникален (не забывайте, что SSID не шифруется и может быть легко перехвачен!);

> всегда используйте максимально длинные ключи. Не используйте ключи меньше 128 бит;

> не забывайте про парольную защиту – используйте генератор паролей, меняйте пароли через определенный промежуток времени, храните пароли в тайне;

> в настройках обычно имеется выбор из четырёх заранее заданных ключей — используйте их все, меняя по определенному алгоритму. По возможности ориентируйтесь не на дни недели (всегда существуют люди в любой организации, работающие по выходным – что мешает осуществить внедрение в сеть в эти дни?).

> старайтесь применять длинные динамически изменяющиеся ключи. Если вы используете статические ключи и пароли, меняйте пароли через определенный промежуток времени.

> проинструктируйте пользователей, что бы они хранили пароли и ключи в тайне. Особенно важно, если некоторые используют для входа ноутбуки которые хранят дома.

- Сетевые настройки:

> для организации разделяемых ресурсов используйте NetBEUI. Если это не противоречит концепции вашей сети - не используйте в беспроводных сетях протокол TCP/IP для организации папок и принтеров общего доступа.

> не разрешайте гостевой доступ к ресурсам общего доступа;

> старайтесь не использовать в беспроводной сети DHCP — используйте статические IP-адреса;

> ограничьте количество протоколов внутри WLAN только необходимыми.

> на всех клиентах беспроводной сети используйте файерволлы или при ХР хотя бы активизируйте брандмауэр;

> регулярно следите за уязвимостями, обновлениями, прошивками и драйверами ваших устройств;

> используйте периодически сканеры безопасности, для выявления скрытых проблем;

> определите инструменты для выполнения беспроводного сканирования, а также частоту выполнения этого сканирования. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.

> если финансы вашей организации позволяют – приобретите системы обнаружения вторжения (IDS, Intrusion Detection System), такие как:

- CiscoWorks Wireless LAN Solution Engine (WLSE), в которой реализовано несколько новых функций - самовосстановление, расширенное обнаружение несанкционированного доступа, автоматизированное обследование площадки развертывания, "теплое" резервирование, отслеживание клиентов с созданием отчетов в реальном времени.
CiscoWorks WLSE - централизованное решение системного уровня для управления всей беспроводной инфраструктурой на базе продуктов Cisco Aironet. Усовершенствованные функции управления радиоканалом и устройствами, поддерживаемые CiscoWorks WLSE, упрощают текущую эксплуатацию беспроводной сети, обеспечивают беспрепятственное развертывание, повышают безопасность, гарантируют максимальную степень готовности, сокращая при этом расходы на развертывание и эксплуатацию.

- Система Hitachi AirLocation использует сеть стандарта IEEE802.11b и способна работать как внутри помещений, так и вне зданий. Точность определения координат объекта, по словам разработчиков, составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS- систем. Система состоит из сервера определения координат, управляющего сервера, комплекта из нескольких базовых станций, комплекта WLAN- оборудования и специализированного ПО. Минимальная цена комплекта — около $46,3 тыс. Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа.

Да цены на такое оборудование достаточно высоки, но любая серьезная компания может решить потратить данную сумму для того, что бы быть уверенной в безопасности свой беспроводной сети.

Регулярное использование «Wi-Fi-маршрутизаторов» часто вызывает опасения конечных потребителей в их безопасности и надежности. В данной статье мы постарались рассмотреть доступный потенциал современных роутеров по предоставлению защищенного подключения и представили дополнительные способы обеспечения должного уровня безопасности.

Введение

Персональные компьютерные устройства представлены, на сегодняшний день, разнообразными образцами и объединены единой целью, все усилия которой направлены на бесперебойное обеспечение пользователей устойчивыми способами создания, обработки, обмена, распространения и хранения информационных материалов, а также поддержку прямого и удаленного взаимодействия устройств и пользователей между собой. Это позволяет существенно повысить скорость исполнения различных востребованных операций, независимо от из трудоемкости, значительно снизить ресурсные и временные затраты, необходимые для исполнения запущенных процессов, и повысить общий уровень производительности и коммуникации.

Во многом, поставленные задачи достигаются за счет использования инновационного программного обеспечения и продвинутых методологических решений. Программные инструменты, в основном, представлены разнообразными приложениями, ответственными как за полноценное функционирование компьютерных устройств и исполнение запущенных операций (операционные системы различных доверенных разработчиков), так и за осуществление отдельных процессов, напрямую зависящих от конкретных требований пользователей (текстовые и графические редакторы, видео обработчики, сетевые обозреватели и т.д.).

Подвинутые методики, в свою очередь, позволяют заметно расширить диапазон задействования устройств и серьезно облегчить дальнейшее взаимодействие.

Однако, когда речь заходит о современных методиках и регулярно используемых технологиях, то обо всех можно утверждать, что они являются определенным компромиссом между удобством и безопасностью. Так, например, все пользователи нуждаются в быстром, беспрепятственном и защищенном доступе к сети «Интернет» . И поэтому практически везде присутствует «Wi-Fi» , обеспечивающий мгновенный востребованный выход в глобальную сеть. В домашних условиях за беспроводной доступ отвечает «Wi-Fi-роутер» . Но насколько безопасно его использовать? Что пользователи могут предпринять, чтобы защитить свою сеть от потенциальных угроз?

Можно утверждать, что пока пользователи следуют общепринятым стандартным рекомендациям, установленным правилам и легко реализуемым техникам, то остается довольно мало поводов для беспокойства.

«По своей сути, Wi-Fi довольно безопасен» , – сказал Энтони Вэнс, профессор и директор центра кибербезопасности в школе бизнеса при университете «Temple» , и продолжил, что: «Люди не должны беспокоиться об этом» .

Однако, для полной и гарантированной уверенности, необходимо подробнее рассмотреть отдельные детали.

Что делает пользовательский роутер?

Пользователи могут не задумываться об используемых маршрутизаторах, но безусловно, из всех персональных устройств, особенно подключенных к домашней сети, они определенно являются самыми важными, так как организуют сетевое соединение и обеспечивают взаимодействие соответствующих связанных устройств.

Большинство маршрутизаторов «Wi-Fi» имеют несколько функций. Во-первых, они представляют собой шлюзы, которые подключают кабельный модем к внутренней сети. Также маршрутизаторы являются беспроводными точками доступа, которые обеспечивают связь для устройств «Wi-Fi» в домашней среде. Большинство конечных моделей маршрутизаторов дополнительно содержат несколько портов проводного соединения «Ethernet» , которые превращают их в сетевые концентраторы или коммутаторы.

Многие компании, предоставляющие услуги доступа к сети «Интернет» , предлагают вариант универсального модема и маршрутизатора «Wi-Fi» в общем корпусном исполнении изначально при заключении договора о предоставлении услуг. Поэтому возможно, что пользователи используют единый готовый блок, предоставленный поставщиком «Интернета» , который оснащен всеми представленными возможностями.

Однако, пользователям не обязательно задействовать универсальный модем и маршрутизатор от «Интернет-компании» , и всегда можно перейти к применению собственного маршрутизатора. Основным преимуществом такого выбора является получение дополнительного оборудования и функций, которые недоступны в распространяемом образце, среди которых большая скорость соединения и повышенный уровень безопасности.

Маршрутизаторы плохо обеспечивают безопасность?

Многие пользователи относятся к своим «Wi-Fi» роутерам с некоторым подозрением и полагают, что это один из самых простых способов предоставить мошенникам несанкционированный доступ к личным файлам или позволить злоумышленникам существенно снизить их пропускную способность. Но данное утверждение ошибочно и неверно.

«Безопасность точек доступа Wi-Fi в первые дни с WEP была очень плохой» , – обращает внимание профессор Вэнс. И в качестве возможного вывода приводит утверждение: «Я думаю, что с тех пор безопасность Wi-Fi приобрела дурную славу» .

«WEP» ( «Wired Equivalent Privacy» ) был самым ранним протоколом безопасности «Wi-Fi» и имел фатальные уязвимости, наличие которых фактически уравнивала его использование и полное отсутствие какой-либо защиты вообще. И поэтому в 2004 году он был заменен сперва на «WPA» ( «Wi-Fi Protected Access» ), а затем на протокол «WPA2» , который, в данный момент, и является стандартом обеспечения безопасности, представленный, в настоящее время, в обязательном порядке на всех маршрутизаторах. Данная схема шифрования идеальна для использования в домашних сетях и практически не имеет уязвимостей.

Тем не менее, протокол безопасности «WPA2» в скором времени будет заменен более продвинутым защитным вариантом «WPA3» , который уже доступен для использования. Указанный новый стандарт имеет несколько улучшений, включающих, в том числе, устойчивость к атакам, использующих для взлома метод «перебора паролей по словарю» . Данный протокол защищает пользовательскую сеть от подбора всех допустимых парольных фраз, и особенно будет полезен для сетей, управляемых слабыми паролями.

Используйте гостевую сеть

Не каждое аппаратное улучшение или расширение функционального инструментария безопасности в современном маршрутизаторе достойны дополнительных затрат. Например, если пользователи уже используют надежные и уникальные пароли на своих роутерах, то директор центра кибербезопасности Энтони Вэнс рекомендует пока не переходить на стандарт «WPA3» .

Однако некоторые другие дополнительные функции могут стоить того, чтобы потребители озаботились их наличием в маршрутизаторе. Если текущий роутер не позволяет пользователям включить гостевую сеть, это может быть достаточно веской причиной для его последующего обновления. Преимущество гостевой сети состоит в том, что она отделена от основной сети, используемой для личных или разрешенных устройств.

«Это как две разные точки доступа» , – сказал Вэнс. «Они обе могут получить доступ к Интернету, но не могут общаться друг с другом» .

Гостевая сеть отлично подходит для временных пользователей или ненадежных, потенциально небезопасных, аппаратных изделий, для которых владелец не планирует открывать общий доступ к главной сети. Но есть и гораздо более серьезная причина использовать отдельную ограниченную сеть: умные устройства. Таким образом, при разделении, пользователи будут подключать все основные компьютерные устройства, такие как смартфоны, планшеты и компьютеры, к основной сети. А остальные элементы, включающие устройства «Интернета вещей» ( «IoT» ), такие как детские умные изделия, и разовых потребителей – к отдельной гостевой сети.

Согласно утверждению доверенного специалиста некоммерческой ассоциации «Институт инженеров электротехники и электроники» ( «IEEE» ) Кейна МакГлэдри: «Сети Wi-Fi безопасны ровно настолько, насколько безопасно наименее защищенное устройство, подключенное к ним» , что в полной мере относится ко многим интеллектуальным устройствам, таким как веб-камеры, дверные звонки, переключатели, разъемы и другие аппаратные элементы «IoT» . Данные изделия небезопасны и обладают слабым уровнем защиты. И дальше Кейн объясняет, что устройства «Интернета вещей» могут быть уязвимы и, как следствие, взломаны, что приведет к раскрытию используемого в домашней сети пароля «Wi-Fi» .

Данное предупреждение не является пустым опасением со стороны экспертов по безопасности и основывается на результатах, произошедшей еще в 2016 году, масштабной вредоносной вирусной атаки. Ботнет «Mirai» заразила миллионы уязвимых устройств домашней сети, такие как незащищенные маршрутизаторы и устройства «IoT» , в том числе радио няни и веб-камеры. Инфицированные устройства в последствии были использованы для запуска массивной «DDoS-атаки» . В течение многих часов значительная часть американского сегмента «Интернета» была полностью заблокирована.

Единственный способ обеспечить безопасность домашней основной сети «Wi-Fi» заключается в подключении всех временных пользователей и слабозащищенных устройств к отдельной выделенной гостевой сети. Таким образом, даже если одно устройство взломано, злоумышленник ограничен только гостевой сетью и не сможет получить доступ к наиболее важным компьютерным устройствам и пользовательским данным.

Если в настройках гостевой сети присутствует соответствующая возможность, то пользователи даже могут запланировать и применить персональный график ее использования. Например, ограничить выход в сеть для детских устройств в ночное время, тем самым снизив риск взлома и несанкционированного скрытого применения.

Обеспечение безопасности посредством использования надежного пароля

Основываясь на представленных выше объяснениях можно утверждать, что «Wi-Fi-роутер» довольно безопасен, если пользователи придерживаются некоторых базовых понятных шагов, обеспечивающих безопасность сети на должном уровне. Прежде всего, пользователям нужно использовать надежные и уникальные пароли для своих устройств.

Если собственники маршрутизатора используют протокол безопасности «WPA2» и разумный, не основанный на простых последовательностях или важных известных датах, пароль конечной длины порядка пятнадцати символов, то пользователи будут практически в полной безопасности, что подтверждается многими специалистами, в том числе и консультантом по кибербезопасности Дейвом Хаттером.

Любая модель маршрутизатора имеет как минимум два пароля, и пользователям необходимо позаботиться о каждом из них. В дополнение к основному паролю «Wi-Fi» , разрешающему доступ к организованной беспроводной сети, критически важно установить безопасный пароль администратора для непосредственного управления настройками пользовательского маршрутизатора.

Также в своем выступлении Дейв Хаттер обратил внимание, что: «Каждый раз, когда пользователи оставляют настройки по умолчанию, то в основном непременно напрашиваются на неприятности» . Специалист настоятельно рекомендует задействовать инструкции производителя из официального руководства пользователя и определить, какие из настроек заданы по умолчанию. А затем изменить их, если в число таких настроек входят пароли администратора и подключения к беспроводной сети «Wi-Fi» . Существует много разнообразных инструментов, например, «Shodan» , которые позволяют отыскать подключенные к «Интернету» устройства, в том числе и любой маршрутизатор определенной конкретной марки. И если заданы настройки доступа по умолчанию, то довольно легко данный роутер взломать, что может привести к необратимым и нежелательным последствиям.

Но к счастью, производители также стремятся повысить безопасность своих устройств и поэтому многие новые маршрутизаторы поставляются со случайными паролями, а не с одинаковым общим набором символов для всех моделей, которые выпускаются. Особенно за исполнением данного условия следят американские производители, деятельность которых регламентирует недавно принятый закон о защите прав потребителей, требующий в свою очередь, чтобы все устройства продавались только с уникальными паролями.

Тем не менее, для исключения потенциального несанкционированного проникновения или взлома, настоятельно рекомендуется изменить пароль, заданный по умолчанию. И чем длиннее он будет, тем выше уровень безопасности пользовательского маршрутизатора.

Использование других действенных способов

Очевидно, что содержание паролей в недоступном защищенном месте и периодическая смена используемой символьной фразы имеет приоритетное и зачастую решающее значение для безопасности пользовательской сети «Wi-Fi» . Но помимо способа смены пароля, существуют также другие дополнительные шаги, которые пользователи могут предпринять для обеспечения востребованного уровня сетевой защиты.

Один из возможных, для непосредственного применения, способов – это поддерживать собственный маршрутизатор в актуальном состоянии. Некоторые маршрутизаторы обновляют свои программные прошивки в автоматическом режиме, без дополнительного участия пользователей, но многие исполнение подобной операции не поддерживают. Поэтому владельцам необходимо перейти к административным настройкам маршрутизатора в веб-браузере или мобильном приложении и самостоятельно проверить наличие готовых обновлений. Как правило, производители маршрутизаторов не выпускают обновления часто. Но когда такие обновления доступны, то, вероятно, их наличие вызвано критичной необходимостью и, следовательно, важно своевременно их установить.

Также пользователи должны отключить функции маршрутизатора, которые повышают уязвимость используемой сети. И главной среди них безусловно является возможность удаленного доступа. Каждый владелец сети не заинтересован, чтобы кто-либо имел возможность взаимодействовать дистанционно, и несомненно предпочитает, чтобы любой доступ осуществлялся с разрешенного компьютера, непосредственно подключенного к данной локальной среде.

Некоторые эксперты по безопасности предлагают более надежные и действенные решения. Так Кейн МакГлэдри советует менять свой маршрутизатор каждые два или три года и оценивать устройства «Интернета вещей» ( «IoT» ) на наличие уязвимостей, прежде чем приобретать их.

Существуют и другие рекомендации, но не все они приемлемы для большинства пользователей. Однако, если владельцы регулярно, по мере выпуска, обновляют прошивку маршрутизатора и периодически (возможно, два раза в год) меняют пароли, то данных действий будет более чем достаточно. И пока используемые «IoT-устройства» подключены в собственную гостевую сеть, пользователи могут считать себя в полной безопасности.

Заключение

Внедрение и повсеместное распространение международной глобальной сети «Интернет» , усовершенствование современных персональных компьютерных устройств и разработка мощного инновационного программного обеспечения значительно расширили диапазон конечного представления аппаратных элементов в ежедневной деятельности пользователей.

В домашних условиях, когда пользователям требуется организовать беспрепятственный доступ в «Интернет» , используются возможности «Wi-Fi-роутера» , обеспечивающего различные способы подключения. Но исходя из важности собственных данных владельцы маршрутизаторов часто задаются вопросом, насколько безопасно может быть использование маршрутизатора «Wi-Fi» в домашних условиях и как повысить его защищенность.

В данном руководстве мы рассмотрели способы достижения должного уровня безопасности домашнего «Wi-Fi-роутера» и описали достаточные действия, которым должны следовать пользователи, чтобы не подвергать свою сеть потенциальной опасности несанкционированного проникновения и удаленного взлома.

Офисный Wi-Fi может оказаться слабым местом в вашей системе защиты.

Практически в любом офисе есть своя сеть Wi-Fi, а бывает, что и не одна. В современном мире без беспроводного Интернета обойтись трудно: мало кому хочется подключать ноутбуки с помощью кабеля, а со смартфонами и планшетами это зачастую и вовсе невозможно. Однако беспроводная сеть может стать слабым местом вашей IT-инфраструктуры.

Подбор пароля

Уязвимость оборудования

В сетевом оборудовании постоянно обнаруживаются уязвимости, позволяющие злоумышленникам атаковать сеть в обход паролей и других защитных механизмов вашего Wi-Fi-маршрутизатора. В некоторых случаях благодаря этому они могут получить права суперпользователя на устройстве и дальше распоряжаться им по своему усмотрению. Патчи к таким уязвимостям выпускают достаточно регулярно. Беда только в том, что многие организации своевременно не спешат с их устанавкой.

Гостевая сеть

Многие компании используют разные Wi-Fi-сети для сотрудников и для гостей. Это разумная мера: с одной стороны, клиенты и другие посетители офиса могут подключиться к Интернету, с другой — доступа к корпоративной сети и внутренним ресурсам компании у них не будет. Тем не менее, гостевой Wi-Fi может сыграть и против вас.

Получить пароль от гостевого Wi-Fi достаточно легко — в этом его идея. При этом в некоторых случаях — при некорректной настройке сетевых политик — через гостевую сеть можно получить доступ к отдельным элементам корпоративной инфраструктуры. Например, нередко таким путем злоумышленники могут добраться до принтеров.

Даже при грамотной настройке гостевого Wi-Fi невольно поставить вас под удар могут ваши же сотрудники. Допустим, кому-то из них захотелось зайти на сайт, доступ к которому запрещен корпоративными политиками. Недолго думая, он подключает ноутбук или смартфон с рабочими данными к точке доступа для посетителей. Если в этот момент к сети подключатся злоумышленники, они получат возможность организовать MitM-атаку и заразить компьютер сотрудника.

Как сделать офисный Wi-Fi менее уязвимым?

Отказываться от Wi-Fi из соображений безопасности — это примерно как отказаться от машины, потому что есть риск попасть в аварию. Мы считаем, что лучше с умом подходить к организации и настройке сети:

Читайте также: