1.10. Рекомендации по безопасности информации, передаваемой через сети Wi-Fi
1.10. Рекомендации по безопасности информации, передаваемой через сети Wi-Fi
Внимание, важно!
Центральной частью любого Wi-Fi-оборудования является так называемая точка доступа, или маршрутизатор (Router). И чтобы собрать все эти продукты воедино, производители Wi-Fi-оборудования предоставляют специализированные веб-страницы, благодаря которым пользователи Wi-Fi могут входить в Сеть, используя свой собственный аккаунт и специализированный особый сетевой адрес. Вся эта веб-конструкция защищена экраном-логином (имя пользователя и пароль), которое, по идее, должно давать доступ в Сеть только зарегистрированным пользователям. Однако по умолчанию логины предоставляются самими производителями Wi-Fi-оборудования, и они известны хакерам в Интернете. Следует поменять все эти настройки. В нормально настроенной сети вредный хакер получит «отказ» из-за незнания пароля WPA и к пользовательским данным, хранящимся в памяти ПК, или пересылаемым сообщениям не попадет. Но и это не отменяет возможности взлома устройства из внутренней сети, так что идея поменять пароль более чем здравая.
Обязательно включите защиту шифрования WPA/WEP. Все виды Wi-Fi-оборудования поддерживают определенные формы шифрования. Сама технология шифрования меняет должным образом все сообщения, которые рассылаются посредством Wi-Fi; наличие данного стандарта шифрования подразумевает, что не каждый сможет прочитать ваши сообщения. Есть несколько стандартов защиты; пользователю надо найти то, которое будет наиболее эффективно работать с конкретным Wi-Fi-оборудованием. И тем не менее какую бы технологию вы бы не использовали: WAP или WEP (на данный момент она морально устарела), – все Wi-Fi-девайсы в Сети должны поддерживать собственные настройки пользователя. Для начала вполне можно найти и выставить минимальный уровень безопасности в настройках пользовательского Wi-Fi-оборудования. Настраивать стоит WPA, притом очень желательно WPA2-only (шифрование AES). Остальные варианты (WEP и WPA с шифрованием TKIP) подвержены ряду неприятных уязвимостей. WEP вообще очень легко взламывается, и его эффективность чисто символическая. Защитит только от совсем ленивых.
Подключите адресный фильтр МАС. Каждый элемент Wi-Fi-оборудования имеет особый идентификатор, который называется физическим адресом, или адресом МАС. Маршрутизатор Wi-Fi-оборудования хранит в себе МАС-адреса всех тех девайсов, которые подключены к нему. Многие такие продукты предлагают пользователю ту опцию в виде ключа в МАС-адресах вашего оборудования, которая позволяет подключаться к Сети только проверенным девайсам. Рассмотренная особенность защиты пользовательского оборудования не такая сильная и мощная: хакеры и их специальный софт с легкостью обманывают МАС-адреса. Так что эта защита работает только против начинающих любителей взлома… И тем не менее ограничивать мак-адреса и отключать ssid малоэффективно в том плане, что спасет это только от начинающих пользователей. Для более опытных не является проблемой посмотреть сниффером IP и выставить правильный, аналогично и мак-адреса, etc.
Следующим шагом поменяйте дефолтные SSID. Маршрутизаторы для своей работы используют SSID (Service Set Identifier). Производители поставляют свое оборудование с одними и теми же настройками SSID. Например, SSID для Linksys часто будет означать и «linksys». Конечно, если кто-то и будет знать SSID, то это не будет означать, что сосед незамедлительно влезет в сеть, но это будет началом возможного процесса. А кому это надо? Поэтому когда находится дефолтный вариант SSID, то хакер лишний раз убеждается, что пользователь данной Wi-Fi-сети является полным ламером, и его систему можно и нужно немедленно атаковать. Здесь нужно помнить одно: когда вы будете конфигурировать свою Wi-Fi-сеть, то незамедлительно поменяйте дефолтные SSID.
Отключите передачу SSID. Маршрутизатор в Wi-Fi-сети обычно передает имя сети (SSID) в эфир через регулярные интервалы. Эта особенность была спроектирована для тех случаев и мобильных «горячих» портов, когда Wi-Fi-клиенты могут входить и выходить из зоны действия их собственной сети. Но у себя дома данная функция роуминга полностью бесполезна, и это все серьезнейшим образом повышает тот риск, что в вашем районе кто-то другой сможет воспользоваться всей данной сетью. Именно такая ситуация описана выше на основе практического опыта в Финляндской республике. Важно иметь в виду, что в большинстве Wi-Fi-маршрутизаторов есть особенность отключения данного роуминга через панель администратора.
Следующим шагом отключите автоматическое соединение, чтобы не подключаться через открытые Wi-Fi. Почему это важно? Соединение через открытые Wi-Fi «горячие» порты или через маршрутизатор потенциального соседа приведет к повышению риска собственного компьютера. Несмотря на то что в нормальном состоянии это не позволено, все же все компьютеры имеют те настройки, которые позволяют подсоединяться к таким портам в автоматическом режиме, не уведомляя о том пользователя. Поэтому данную настройку следует отключить.
Установите статические IP на все девайсы. Большинство домашних Wi-Fi-линий использовали динамические IP-адреса. DHCP-технология в наше время является наилучшим решением по этой части. Однако не все так просто: именно это удобство позволяет хакерам перехватывать ваши сигналы, которые могут с легкостью получить статический IP из канала вашего DHCP. Что же делать? Следует отключить DHCP на пользовательском маршутизаторе и поставить вместо него фиксированный IP; но затем также не стоит забывать сконфигурировать каждый девайс оборудования надлежащим образом. Другое дело, что не все интернет-провайдеры позволяют это сделать. Приходится выбирать… Как вариант используйте секретные IP-адреса (к примеру, 10.0.0 x), чтобы предотвратить подключения компьютеров напрямую из Интернета.
Активируйте Firewalls на каждом компьютере и на самом мар-шуртизаторе. Современные маршрутизаторы уже содержат в себе встроенные Firewall’bi, но всегда существует опция для их отключения. Убедитесь, что на вашем маршрутизаторе Firewall включен. Для более существенной и дополнительной протекции следует инсталлировать персональный Firewall на каждый компьютер, который непосредственно соединен с самим маршрутизатором.
Местонахождение самого маршрутизатора и безопасность всей сети – следующий важнейший вопрос, который будет рассмотрен ниже. В нормальном состоянии (их сила) Wi-Fi-сигналы должны немного переходить границу дома, квартиры. Некоторое количество сигнала, которое утекает через ваш порог, – это нормально, но не есть хорошо, если сигнал уплывает и дальше: всегда есть вероятность перехвата вашего сигнала и его использования. Wi-Fi-сигналы частенько достигают соседних домов и далее, на улицу… И когда будете инсталлировать свою домашнюю Wi-Fi-систему, то следует помнить, что местонахождение самого маршрутизатора играет не самую последнюю роль. Попробуйте найти ему место посередине комнаты, а не возле окна, что также позволит минимизировать утечку сигнала.
Выключайте свою линию, если вы не пользуетесь ею долгое время. И вот почему… Еще одним решением является выключение вашего сложного оборудования, когда вы вообще не пользуетесь им! Это резко снижает взлом! Естественно, довольно непрактично выключать его очень часто, но во время своих путешествий и продолжительной отлучки (уехали в командировку) отключение оборудования является наилучшим выходом. Диски компьютера не любят постоянный цикл: включение/выключение, но для широкополосных модемов и маршрутизаторов все это не так уж и страшно. Если у вас есть всего один маршрутизатор на всю линию компьютеров (Ethernet), то имеет смысл отключить всего лишь широкополосный Wi-Fi-маршрутизатор вместо отключения ВСЕЙ компьютерной сети. Это поможет предохранить пользовательские компьютеры и информацию.
Проектирование Wi-Fi-сетей, конечно же, имеет свои особенности. Нередки такие случаи, когда после отключения трансляции SSID смартфон и планшет не могут к ней подключиться. Хотя при изменении настроек были в сети. Для этого есть функция подключения к скрытой сети. Вводите свой пользовательский ssid и пользуйтесь.
Данный текст является ознакомительным фрагментом.