Crisis-Care.ru

Crisis-Care.ru

     
     
     

(495)755-2005

Безопасность беспроводной сети

 Беспроводные сети становятся всё более популярными и распространёнными - сейчас редкий провайдер не предлагает при заключении договора установку WiFi роутера. Однако у беспроводных сетей есть один большой недостаток - проблема безопасности.

Безопасность может быть нарушена по двум аспектам:

  • доступность сети - недорогой генератор помех на 2 ГГц китайского производства или ноутбук/планшет/телефон с достаточно мощной или направленной антенной полностью парализуют работу сети. В случае с домашней информационно-развлекательной сетью, это не представляет серьёзной угрозы, а вот если бепроводным способом подключена, скажем, цифровая камера видеонаблюдения - этим могут воспользоваться злоумышленники
  • конфиденциальность сети - обычно подключение к сети защищено шифрованием WPA2, но часто его заменяют более простым WEP или WPA шифрованием из-за несовместимости алгоритмов - например, маршрутизатор или точка доступа использует только AES, а подключаемое устройство - только TKIP. Наиболее криптостойким является алгоритм WPA2, но и его, в случае использования PSK и простых паролей, можно взломать. К тому же, устройство, с которого выполнялся вход, может быть потеряно или украдено, а ключ в нём хранится в незашифрованном виде и доступен для просмотра. Кроме того, ключ шифрования - один на всех, и, если не установлено дополнительных средств защиты, обнаружить факт несанкционированного подключения может оказаться непросто, а для восстановления безопасности потребуется смена ключа шифрования на всех устройствах.

С угрозой доступности сети мы практически ничего сделать не можем, за исключением рекомендации не использовать WiFi на ответственных линиях связи.

Но предпринять меры по защите сети от несанкционированных подключений - возможно.

Самое очевидное действие - включение фильтрации по MAC-адресам подключаемых устройств. Такая возможность предоставляется в большинстве современных маршрутизаторов и точек доступа, правда эффективность этой меры не слишком высока.

Во-первых, MAC-адрес несложно определить при перехвате трафика и подделать (штатными средствами Linux, например), во-вторых, при утрате устройства, его MAC адрес доступен нашедшему/укравшему в открытом виде. Единственное преимущество - в случае базовой защиты простой сети от не слишком грамотных злоумышленников, достаточно исключить нужное устройство из списка разрешённых.

Наиболее эффективной (по совокупности сложности взлома и простоты построения) представляется приведённая ниже схема.

  • WiFi сеть без шифрования (для минимизации трафика)
  • Только статические IP адреса (для исключения "пионеров" и "интересующихся")
  • Фильтрация по MAC адресам (с той же целью)
  • Сервер OpenVPN на основе "большого" сервера, сервера MiniITX или готового аппаратного решения, подключение ко всем сервисам компании полько через туннель
  • Занесение в "чёрный список" после нескольких неудачных попыток авторизации
  • Уникальные логины/пароли для пользователей
  • Регулярная смена паролей

В такой беспроводной сети штатным пользователям будет достаточно просто подключаться, в то же время возможности перебора паролей крайне ограниченны.