Беспроводные сети становятся всё более популярными и распространёнными - сейчас редкий провайдер не предлагает при заключении договора установку WiFi роутера. Однако у беспроводных сетей есть один большой недостаток - проблема безопасности.
Безопасность может быть нарушена по двум аспектам:
- доступность сети - недорогой генератор помех на 2 ГГц китайского производства или ноутбук/планшет/телефон с достаточно мощной или направленной антенной полностью парализуют работу сети. В случае с домашней информационно-развлекательной сетью, это не представляет серьёзной угрозы, а вот если бепроводным способом подключена, скажем, цифровая камера видеонаблюдения - этим могут воспользоваться злоумышленники
- конфиденциальность сети - обычно подключение к сети защищено шифрованием WPA2, но часто его заменяют более простым WEP или WPA шифрованием из-за несовместимости алгоритмов - например, маршрутизатор или точка доступа использует только AES, а подключаемое устройство - только TKIP. Наиболее криптостойким является алгоритм WPA2, но и его, в случае использования PSK и простых паролей, можно взломать. К тому же, устройство, с которого выполнялся вход, может быть потеряно или украдено, а ключ в нём хранится в незашифрованном виде и доступен для просмотра. Кроме того, ключ шифрования - один на всех, и, если не установлено дополнительных средств защиты, обнаружить факт несанкционированного подключения может оказаться непросто, а для восстановления безопасности потребуется смена ключа шифрования на всех устройствах.
С угрозой доступности сети мы практически ничего сделать не можем, за исключением рекомендации не использовать WiFi на ответственных линиях связи.
Но предпринять меры по защите сети от несанкционированных подключений - возможно.
Самое очевидное действие - включение фильтрации по MAC-адресам подключаемых устройств. Такая возможность предоставляется в большинстве современных маршрутизаторов и точек доступа, правда эффективность этой меры не слишком высока.
Во-первых, MAC-адрес несложно определить при перехвате трафика и подделать (штатными средствами Linux, например), во-вторых, при утрате устройства, его MAC адрес доступен нашедшему/укравшему в открытом виде. Единственное преимущество - в случае базовой защиты простой сети от не слишком грамотных злоумышленников, достаточно исключить нужное устройство из списка разрешённых.
Наиболее эффективной (по совокупности сложности взлома и простоты построения) представляется приведённая ниже схема.
- WiFi сеть без шифрования (для минимизации трафика)
- Только статические IP адреса (для исключения "пионеров" и "интересующихся")
- Фильтрация по MAC адресам (с той же целью)
- Сервер OpenVPN на основе "большого" сервера, сервера MiniITX или готового аппаратного решения, подключение ко всем сервисам компании полько через туннель
- Занесение в "чёрный список" после нескольких неудачных попыток авторизации
- Уникальные логины/пароли для пользователей
- Регулярная смена паролей
В такой беспроводной сети штатным пользователям будет достаточно просто подключаться, в то же время возможности перебора паролей крайне ограниченны.