Настраиваем безопасность беспроводной сети Wi-Fi

Введение

В наших статьях "Первый шаг к беспроводным сетям Wi-Fi" и "Строим беспроводную сеть на скорости 108 Мбит/с" мы рассматривали установку беспроводных сетей в домашних условиях, когда необходимо связать между собой два и более компьютеров. В этих статьях для упрощения установки мы делали сети открытыми, без шифрования данных. Но пришло время позаботиться о собственной информационной безопасности и дать хакерам по рукам. Сегодня мы будем защищать нашу беспроводную сеть от несанкционированного доступа.

Зачем настраивать безопасность беспроводных сетей

Не думайте, что ваш компьютер не интересен хакерам и с него нечего брать. В действительности, если у вас на машине установлены только игрушки, вам нечего бояться за ваши данные. Даже в случае полной потери информации восстановить её будет можно в течение нескольких дней. Но даже в этом случае вам наверняка не захочется, чтобы ваша коллекция MP3 файлов, домашняя фото и видео съёмки стали достоянием общественности. Кроме того, порой бывает так неприятно терять всё, что было достигнуто в играх из-за невесть откуда взявшихся вирусов.

Если ваш компьютер подключен к интернету, то хакер через открытую беспроводную сеть сможет получить халявный доступ к глобальной сети, тормозя вашу работу. Через ваш компьютер хакер сможет рассылать СПАМ, проводить атаки на другие защищённые системы, чем сильно осложнит вашу жизнь.

Итак, пришло время настраивать безопасность беспроводной сети. Для установки беспроводных сетей мы использовали оборудование немецкого производителя, компании Level One. Это оборудование отличается тем, что в комплекте с ним поставляются удобные утилиты, позволяющие пользователю легко настроить все параметры WLAN. Ну что же, напомним нашу тестовую конфигурацию.

Персональный компьютер.Чтобы избежать возможных проблем, мы использовали компьютер, собранный на базе barebone платформы Shuttle SB75G2, стабильной платформы, зарекомендовавшей себя с лучшей стороны в плане отсутствия помех.

Конфигурация тестового компьютера:

• Процессор Intel Pentium 2.8 (800 MHz, Hyper-Threading, 512 Kb L2)
• Жёсткий диск - Maxtor DiamondMax 9, 80 Gb, 7200 rpm
• Видеокарта - Albatron GeForce FX 5700
• Операционная система - Windows XP Pro + Service Pack 2

В этом компьютере было установлено 1024 Мб памяти DDR400 производства компании OCZ.

Память OCZ DDR400 серии PC3200 Titanium имеет тайминги CL 2-3-2-5 и обеспечивает нам максимальную производительность (читайте статью о зависимости скорости компьютера от задержек памяти).

Ноутбук IRu Novia 3331W Combo. Обзор этого ноутбука вы можете прочитать здесь. Этот мобильный компьютер, построенный на платформе Centrino, уже имеет встроенный контроллер Wi-Fi IEEE 802.11g.

• Сетевая карта Level One WNC-0300

• USB контроллер Level One WNC-0301USB.

• Точка доступа WAP-0004

Внимание! Все пароли, указанные на скриншотах служат лишь рекламой нашего ресурса. Мы рекомендуем не использовать в качестве паролей слова, взятые из словаря, имена и прочие названия. Идеальный пароль - это набор заглавных и строчных букв вперемешку с цифрами и специальными символами! Например, oR2(cNo7bJ&_B

Шаг 1 - меняем пароль точки доступа

Если вы используете точку доступа, которая имеет свой IP адрес и управляется через WEB-интерфейс, то первое что вам надо сделать - это поменять пароль, установленный в ней по умолчанию. В отличие от сетевой карты, которая установлена в вашем компьютере, точка доступа включена всегда и всегда доступна через web-интерфейс для управления. Если не знать пароля доступа к ней, то взломать её настройки будет невозможно.

В точке доступа Level One WAP-0004 вы можете поменять не только пароль, но и имя администратора. Для этого достаточно зайти в раздел "безопасность". Очень рекомендуем записывать пароль в какую-нибудь записную книжку, чтобы не забыть, потому что если вы его потеряете, то на некоторых точках доступа уже не сможете никогда ничего настроить.

Шаг 2 - отключаем трансляцию ID сети

В нормальном режиме точка доступа вещает свой сетевой идентификатор, чтобы любой, кто выполняет поиск беспроводных сетей, мог её найти. Это можно сравнить с продавцом на рынке, который кричит "Пирожки, пирожки", привлекая всеобщее внимание. Если мы - не провайдер и нам не надо демонстрировать свою беспроводную сеть всем желающим, мы можем отключить эту трансляцию. Если мы изменим идентификатор нашей сети, грубо говоря его имя и отключим вещание этого имени, то подключиться к нашей сети сможет только тот, кто заранее знает это имя. Вот вам ещё один пароль. Найти и взломать беспроводную сеть после этого станет сложнее.

В точке доступа Level One WAP-0004 настройка трансляции идентификатора беспроводной сети находится в разделе расширенных настроек (Advanced Settings). Отключив трансляцию SSID и сделав имя сети типа "Hardwareportal_016" мы уже будем уверены, что кто зря нашу сеть не увидит и у юных пионеров не будет желания испробовать нашу сеть на прочность.

Шаг 3 - устанавливаем фильтрацию по MAC адресу

Если у вас в офисе компьютерный парк не меняется или если вы точно знаете, каким компьютерам друзей можно дать доступ к сети, а каким - нет, то можно использовать фильтрацию по MAC адресу. Дело в том, что MAC адрес - это уникальный идентификатор, зашитый производителем в свои сетевые карты на стадии производства. Каждая карта имеет свой MAC адрес и даже две "соседние" сетевые платы от одного производителя и из одной партии различаются по MAC адресу. Считается, что в мире не может быть двух устройств с одинаковыми MAC адресами. Эта опция удобна в том случае, если я хочу связать два компьютера дома или несколько компьютеров в офисе по беспроводным сетям. К примеру, у меня есть один-два друга с ноутбуками, которые могут прийти ко мне домой и пожелать выйти в сеть через мою точку доступа. Но если друзей много или много клиентов, которые каждый раз приходят к вам в офис с разными ноутбуками, то этот способ защиты может быть неудобным. Для третьего друга я ещё смогу изменить настройки точки доступа, но делать это ради каждого пришедшего - трудоёмкое занятие.

Фильтрация по MAC адресу позволит подключаться к вашей сети только заданным устройствам с их уникальными MAC адресами. Или наоборот - позволит всем кроме заданных MAC-адресов использовать вашу сеть. Удобно поставить блокировку на компьютер соседа, который уже пытался подключиться к вашей сети без вашего спроса.

Узнать MAC-адрес сетевой карты довольно просто. В операционной системе Windows XP делаете следующим образом: [ПУСК]->[Выполнить], набираете CMD и жмёте [OK]. В появившемся окне MS-DOS вводите ipconfig /all и снова [ENTER]. Теперь перед вами выводится список всех установленных в компьютере сетевых карт и их настроек. Физический адрес - это и есть то, что нам надо.

Мы получили MAC-адрес USB-контроллера Level One WNC-0301USB, установленного на нашем компьютере. Теперь прописываем его в настройки точки доступа.

В точке доступа Level One WAP-0004 фильтрация по MAC-адресу так же находится в разделе расширенных настроек. Точка доступа позволяет запоминать до 40 адресов разных устройств и разрешать доступ только им или же наоборот - всем, кроме заданных.

Однако, изменить MAC-адрес сетевой карты не так уж и сложно. И мало-мальски грамотный хакер сможет это сделать, если узнает MAC адреса разрешённых сетевых карт. Так что храните MAC-адреса в тайне и не забывайте, что фильтрация по MAC-адресам не может обеспечить 100% защиту от доступа посторонних лиц.

Простая аутентификация пользователей по паролю "Shared Key" сделает вашу сеть закрытой от нежелательных пользователей, но не остановит хакера. Альтернативу обычной аутентификации мы рассмотрим чуть ниже, когда будем говорить о WPA-PSK.

Смена паролей, отключение трансляции SSID, задание необычного SSID и фильтрация по MAC-адресам позволит вам отбить желание у доморощенных хакеров получить доступ к вашей беспроводной сети. Однако, более продвинутые взломщики могут перехватывать передаваемые вами данные, прослушивая радиоканал. Если злоумышленник находится в зоне действия вашей сети, то он сможет "прослушивать" ваш эфир, вооружившись обычным ноутбуком с беспроводным контроллером и специальным программным обеспечением, которого полно в глобальной сети.

Шифрование данных

Чтобы защитить ваши данные по пути от одного сетевого контроллера к другому, используется шифрование данных. При шифровании данных необходимо на каждом компьютере и на точках доступа настроить протокол шифрования и ключи.

Первый и наиболее простой способ шифрования данных - использование WEP протокола. WEP (Wired Equivalence Privacy) позволяет добиться такой же безопасности, как при использовании проводных сетей. При использовании WEP шифрования, необходимо, чтобы на всех подключённых точках использовались идентичные ключи. Чем длиннее ключ, тем сложнее его подобрать. Современное беспроводное оборудование использует 64-битные, 128-битные и 256-битные ключи. Точка доступа Level One WAP-0004 позволяет использовать 64-битные и 128-битные ключи. Настройки шифрования производятся в разделе "Basic Settings".

128-битный ключ - это 13 символов в формате ASCII, а 64-битный ключ - это 5 символов. Рекомендуем устанавливать минимум 128-битный ключ, а по возможности даже 256-битный. В современном сетевом оборудовании вы можете записывать до 4 ключей WEP и выбирать активный по согласованию с клиентами. Например, по одному на каждую неделю. Задав эти ключи для нашей точки доступа, необходимо прописать их же на клиентской части.

На стороне клиента для этого может использоваться программное обеспечение, поставляемое производителем сетевого оборудования или же сама операционная система. В первом случае произвести настройки намного проще. Здесь так же есть флажок - ключ предоставляется при аутентификации по протоколу 802.1x.  Лучше его не включать.

Как часто менять ключи - выбирать, естественно вам. Если вы считаете, что хакер, потративший около 100 часов на расшифровку вашего ключа и не добившийся результата, не пойдёт с горя пить пиво, а продолжит работу - меняйте каждую неделю. Если же ваши данные и ваш трафик не представляют большого интереса - можете вообще не менять.

Однако, есть способ, который не потребует вообще от вас ввода никаких ключей. Устройства, поддерживающие протокол 802.11g могут похвастаться более прогрессивным методом шифрования - WPA (Wi-Fi Protected Access).  Этот стандарт объединяет два метода - TKIP и MIC.

Суть метода шифрования TKIP заключается в том, что 128-битные ключи автоматически генерируются при посылке каждых 10 килобайт данных. Общее число ключей исчисляется сотнями миллиардов. Это означает, что к примеру при передачи MP3-файла объёмом 5 мегабайт, его трафик будет зашифрован с использованием 512 ключей, каждый из которых имеет длину 13 символов. Такая система даёт самые высокие гарантии от перехвата и расшифровки данных. Кроме того, специальный алгоритм MIC (Message Integrity Check) сверяет отправленные и полученные данные, чтобы исключить их изменения в пути. Хакер больше не сможет встроить вредоносные коды в ваши данные на пути отправки.

Стандартный WPA протокол требует установки RADIUS сервера, что неприменимо в домашних сетях и малых офисах. Более простой режим WPA-PSK поддерживает заранее созданные ключи (Pre-Shared Keys). Этот ключ, как и ключ в режиме WEP, задаётся на всех клиентских машинах и точке доступа, чтобы обеспечить первичную идентификацию станций.

Точка доступа WAP-0004 от Level One позволяет использовать метод шифрования трафик WPA-PSK с заданием ключа. Для этого в базовых настройках выбираем метод аутентификации: WPA-PSK и задаём пароль. Точка доступа WAP-0004 позволяет задавать пароль длинной от 8 до 34 символов (256-бит) - достаточно много, чтобы занять компьютер хакера подбором паролей на несколько ближайших лет.

Точка доступа WPA-0004 поддерживает шифрование только по методу TKIP. Так что выбирать шифрование при установке метода защиты WPA, уже не надо. 

На клиентском компьютере так же выбирается вид шифрования TKIP и метод аутентификации WPA PSK. После этого в настройках шифрования WPA задаётся пароль и можно сказать, что беспроводное соединение защищено от потусторонних сил.

Шифрование WPA-PSK по методу TKIP считается неприступной стеной для хакеров. Но существует ещё более мощный способ защиты: шифрование по методу AES (Advance Encryption Standard), ранее используемый в сетях VPN. Эта технология поддерживается не всем современным сетевым оборудованием. Из недорогого оборудования Level One эта технология поддерживается только USB контроллером WNC-0301USB. Но не стоит пропускать мимо и тот факт, что до сих пор защита по протоколу WPA не была сломана хакерами. 

Дополнительные меры

Какие дополнительные меры стоит предпринять дома или в офисе для защиты беспроводной сети? Прежде всего, если нет необходимости в обратном, постараться снизить радиус действия беспроводной сети. Чтобы за стенами вашей квартиры или офиса сигнал ловился очень плохо. Тогда хакеру для работы придётся максимально приблизиться к вашему офису или дому.

Если все клиентские компьютеры подключаются к точке доступа, то на них надо запретить соединение по типу ad-hoc, чтобы к ним не могли подключаться злоумышленники, минуя все настройки секретности вашей точки доступа. Для этого достаточно выбрать тип сети - Infrastructure в настройках сетевых карт.

Если точка доступа позволяет настраивать её по проводному подключению и отключить беспроводную настройку, надо обязательно сделать это. Настройка точки доступа через Wi-Fi должна быть отключена, чтобы злоумышленник не мог к ней подключиться даже зная пароль доступа.

Установка VPN (Virtual Private Network) ещё больше защитит вашу сеть от посторонних внедрений.

Заключение

Перечисленных выше мер достаточно, чтобы защитить домашнюю или малую офисную сеть, состоящую из одной точки доступа и нескольких клиентских машин от хакерских атак. Или отбить желание у хакера поживиться интернетом за ваш счёт. Давайте напоследок повторим, что надо сделать с сетью, чтобы повысить её защиту.

• Используйте соединение типа Infrastructure, с точкой доступа

• Смените логин и пароль для администрирования точки доступа

• По возможности, настраивайте точку доступа через проводное соединение и отключите возможность доступа к настройкам точки доступа через беспроводное соединение

• Скройте вашу сеть от глаз - задайте уникальный SSID сети и отключите трансляцию её SSID, чтобы она не мозолила глаза и не напрашивалась "сломай меня".

• Если вы не планируете подключать неизвестные компьютеры к сети, установите фильтрацию по MAC-адресам

• Вместо обычной аутентификации используйте метод WPA-PSK с шифрованием TKIP или EAS.

• Обязательно используйте шифрование потока. Минимум - WEP, но лучше WPA-PSK, WPA TKIP или WPA EAS.

• Используйте длинные пароли. Минимум - 128 бит, но лучше 256 бит. Пароли должны включать в себя буквы, цифры и специальные символы. Не используйте обычные слова из словаря, имена и др. Даже из обычного слова HardwarePortal можно сделать пароль вида H@rD\/\/@reP0rT/\|_ .

Ну и напоследок не стоит забывать, что прочность цепи определяется прочностью самого слабого звена. Ваша беспроводная сеть может быть полностью защищена от постороннего доступа, но проводная часть может, сервер и шлюз может быть не подготовлен к атаке злоумышленников. Ваша сеть может быть полностью защищена, но хакер взломает ваш почтовый ящик. Ну и в таком роде. Так же стоит иметь ввиду, что любой замок характеризуется временем вскрытия и не обеспечивает 100% защиты. А чем выше забор, тем больше хочется за него заглянуть. Мир вашей сети!

Мы благодарим компанию "SVEGA Computer", официального дистрибьютора Level One в России за предоставленное сетевое оборудование.

• Ноутбук "IRu Novia 3331W Combo" предоставлен компанией "Метак-М".
• Barebone платформа "Shuttle SB75G2" предоставлена компанией "Клуб Мультимедиа"
• Память "OCZ PC3200 Titanium" предоставлена компанией "SVEGA Computer"

LIKE OFF
6/07.2005