Новости
- Міф № 1: Приховування SSID посилює безпеку
- Міф № 2: Фільтрація MAC-адрес
- Міф № 3: Обмеження діапазону IP адрес видаються клієнтам бездротової мережі
- Міф № 4: Відключення DHCP сервера на маршрутизаторі зупинить злісних хакерів
- Міф № 5: Маленькі мережі важко виявити і зламати
- Справжня правда: Шифрування є найкращим способом захисту Wi-Fi мережі
Технології забезпечення безпеки бездротових мереж Wi-Fi розвиваються далеко не перший рік. За цей час в мережі інтернет з'явилося дуже багато інформації, що стосується безпеки Wi-Fi. Частина інформації цієї вже застаріла, а частина - не більше ніж міф. Спробуємо відокремити зерна від плевел, і описати найефективніші способи захисту мереж Wi-Fi.
Міф № 1: Приховування SSID посилює безпеку
Кожен бездротовий маршрутизатор (або точка доступу) транслює свій ідентифікатор мережі SSID (Service Set Identifier - англ .: Ідентифікатор зони обслуговування). За замовчуванням бездротовий маршрутизатор постійно транслює в мережу пакети (так звані маяки), що містять інформацію SSID, для того, щоб прилеглі пристрої могли впізнати мережу і підключитися до неї.
Відключивши на маршрутизаторі функцію трансляції SSID можна зробити вашу мережу невидимою для пристроїв. Не знаючи імені мережі пристрою не зможуть підключитися до цієї мережі. Звучить непогано?
Насправді більшість пристроїв все ще знає про існування вашої мережі навіть після відключення трансляції SSID. Відключивши SSID ви просто змусите маршрутизатор припинити вставляти назву мережі в пакети-маяки. Але ім'я мережі можна отримати з інших службових пакетів. І дізнатися ім'я мережі (SSID) не складе великих труднощів за допомогою аналізатора мережевого трафіку, наприклад Kismet або CommView.
Отже, максимум від кого ви зможете захистити мережу відключивши трансляцію SSID - це сусідська домогосподарка, яка до цих пір не спіткала ази роботи з аналізаторами мережевого трафіку. А ось увагу більш досвідчених домогосподарок ви, навпаки, залучите.
Міф № 2: Фільтрація MAC-адрес
МАС-адреса (Media Access Control - англ .: управління доступом до середовища) це ідентифікатор будь-якої одиниці активного обладнання мережі. В теорії MAC-адреси повинні бути унікальними для кожного пристрою. Візуально MAC-адресу виглядає приблизно так: 00: 26: 18: db: 19: 25. Мережеві пристрої використовують цю адресу в якості посвідчення особи при відправці і отриманні даних через мережу, т. Е. MAC-адресу дозволяє ідентифікувати кожен вузол мережі і доставляти дані тільки цьому вузлу. Розглянемо випадок, коли ви вирішили захистити свою мережу, прописавши в таблиці фільтрації MAC-адрес маршрутизатора MAC-адреси тільки відомих вам пристроїв.
У цьому випадку маршрутизатор не дозволить аутентифицироваться у вашій мережі пристрою з невідомим (не включених в таблицю фільтрації) MAC-адресою, навіть якщо пристрою відомий пароль доступу до бездротової мережі.
Дуже надійний захист на перший погляд. Однак просунута домогосподарка, яка вміє користуватися аналізаторами мережевого трафіку, легко виявить MAC-адреси пристроїв, які вже зареєстровані в вашої бездротової мережі (ті, які ви прописали в таблицю фільтрації MAC). Далі ця домогосподарка просто змінить MAC-адресу свого комп'ютера на знайдений і вже прописаний вами в таблиці фільтрації маршрутизатора. Вуаля! І ось уже ваші секрети - не секрет)
Отже, все що ви отримаєте створюючи таблицю фільтрації MAC-адрес - втрачений час на додавання в таблицю нових пристроїв. А до того ж гнівні висловлювання на вашу адресу цілком легітимних користувачів з новими пристроями.
Міф № 3: Обмеження діапазону IP адрес видаються клієнтам бездротової мережі
Кожен пристрій в мережі може бути ідентифіковано по унікальному IP-адресою (IP - Internet Protocol - англ .: Протокол інтернет). При підключенні нового пристрою до вашої бездротової мережі, маршрутизатор (точніше DHCP сервер маршрутизатора) присвоює йому унікальний IP адресу. Помилка полягає в тому, що обмеживши кількість видаваних сервером IP-адрес, можна обмежити кількість пристроїв здатних підключитися до вашої мережі. Звичайно це не так, і пояснення в наступному міфі.
Міф № 4: Відключення DHCP сервера на маршрутизаторі зупинить злісних хакерів
За цією легендою ви можете відключити сервер DHCP, який видає IP-адреси нових пристроїв, і вручну призначити адреси пристроїв в своїй мережі. Далі ви могли б прописати на маршрутизаторі список IP-адрес пристроїв дозволених для реєстрації в бездротової мережі. Недоліки і спосіб обходу такого обмеження точно такий же, як і в випадку фільтрації MAC-адрес.
Міф № 5: Маленькі мережі важко виявити і зламати
Суть цієї помилки в тому, що зменшення потужності передавача бездротового маршрутизатора зробить вашу мережу невидимою за межами офісу або будинку. Це саме дурне, що можна придумати.
Будь-яка домогосподарка вирішила проникнути в вашу мережу, просто буде використовувати велику антену (або антену з високим коефіцієнтом посилення сигналу). Все чого ви досягнете обмеживши потужність, це зниження дальності та ефективності роботи вашої бездротової мережі.
Справжня правда: Шифрування є найкращим способом захисту Wi-Fi мережі
Тепер, коли ми розглянули 5 міфів про безпеку Wi-Fi, давайте розглянемо, як захистити свою мережу найкращим чином за допомогою шифрування.
Шифрування є досить надійним засобом від перехоплення осмислених даних. Т. е. Якщо навіть якісь пакети (нехай все) будуть перехоплені - їх буде необхідно розшифрувати. Що при застосуванні оптимальної системи шифрування зробити дуже і дуже складно. У підсумку максимум на руках у зловмисника буде безглуздий набір зашифрованих даних, ніякі ваші паролі, тексти, рахунки і т. Д. Будуть йому не доступні.
За роки розвитку Wi-Fi було розроблено кілька типів шифрування. На самому початку був створений тип шифрування WEP, який довгий час вважався надійним. В наші дні алгоритм шифрування WEP можна зламати за пару хвилин. Тому, якщо це єдиний алгоритм шифрування, який підтримує ваш маршрутизатор або клієнтський пристрій (смартфон, ноутбук, мережева карта) - скоріше позбудьтеся від цього старого заліза.
На зміну WEP прийшов алгоритм шифрування WPA. Цей алгоритм також був скомпрометований і має деякі проблеми з безпекою в даний момент. Зараз для захисту мережі Wi-Fi використовується більш захищений алгоритм WPA2. Якщо ваш пристрій (маршрутизатор або клієнтський пристрій) не підтримують алгоритм WPA2 - подумайте про його заміну на обладнання з підтримкою WPA2.
Алгоритм WPA2 (як і WPA) може використовувати 2 різних режиму: Персональний (для аутентифікації використовується PSK - Pre-Shared key, т. Е. Можна вказати ключ мережі вручну) і Підприємства (для аутентифікації використовується зовнішній RADIUS сервер).
Перший режим призначений для використання в домашніх мережах і налаштовується дуже просто. Потрібно вказати ключ безпеки на маршрутизаторі, а потім використовувати цей ключ для підключення кожного пристрою у вашій мережі. Якщо маршрутизатор дозволяє вказати тип шифрування - вказуйте AES. До тих пір поки ви використовуєте досить складний пароль не менше 12 символів (малі та великі літери, цифри, спец. Символи, щось на зразок цього: 1%} sZ3 $ -6NbV) ваша Wi-Fi мережу буде більш ніж надійно захищена.
Другий режим WPA2-Enterprise (Підприємство) призначений для мереж корпоративного рівня і забезпечує більш високий рівень безпеки, але вимагає наявності RADIUS сервера для аутентифікації.
Тепер, коли ви знаєте, як найкраще забезпечити безпеку своєї Wi-Fi мережі, перевірте налаштування вашого маршрутизатора.
Потрібна допомога з налаштуванням Wi-Fi в Новосибірську? звертайтеся , Допоможемо!
Звучить непогано?Потрібна допомога з налаштуванням Wi-Fi в Новосибірську?