Безопасность WLAN: как превратить вашу беспроводную сеть в крепость

Независимо от того, используете ли вы частную или деловую сеть, необходимость обеспечения безопасности является одним из главных приоритетов. Традиционные сети, использующие кабели, могут обеспечить некоторую защиту от внешних атак. Это связано с тем, что без физического доступа к кабелям, которые расположены по всему зданию, посторонние лица не могут легко перехватить или прочитать данные.

Однако если вы хотите использовать более практичную беспроводную сеть, вы рискуете столкнуться с проблемами безопасности. Вместо кабелей для передачи данных используется пустое пространство, а радиус действия измеряется не длиной кабеля, а силой радиосигналов. Если устройство в беспроводной локальной сети — более известной как WLAN — отправляет данные, шпиону достаточно иметь приемник в радиусе действия передаваемых радиосигналов, чтобы перехватить эти данные. Чтобы использовать беспроводной канал связи без каких-либо опасений, важно обеспечить хорошую безопасность WLAN.

WLAN (Wireless Local Area Network) — это беспроводная локальная сеть, которая обычно используется, когда сетевое устройство не может быть проводным или его сложно реализовать, что требует больших усилий. Беспроводная сеть также может существовать из соображений удобства. Беспроводные соединения особенно широко распространены в частном секторе, поскольку они являются хорошим решением для реализации доступа в Интернет через целые жилые помещения без необходимости использования кабелей. Радиосети также полезны в офисах, особенно когда используются различные портативные устройства, такие как ноутбуки, планшеты или смартфоны.

Существует три различных режима работы беспроводных сетей:

• Инфраструктурный режим: структура этого режима аналогична мобильной сети. Беспроводная точка доступа заботится о координации всех пользователей сети и посылает им небольшие пакеты с регулируемыми интервалами с информацией о названии сети, поддерживаемой скорости передачи или типе шифрования. Точка доступа часто является маршрутизатором.

• Беспроводная распределительная система: поскольку сети WLAN используют тот же режим адресации, что и Ethernet, вы можете легко подключиться к проводным сетям (или другим беспроводным сетям) через точку доступа. Таким образом сети объединяются вместе, а радиус действия увеличивается, поэтому такая система известна как беспроводная распределительная система.

• Режим Ad-hoc: в сетях ad-hoc отсутствует центральный блок управления, а значит, координацию должны взять на себя соответствующие терминалы. Эти сети используются для быстрой, прямой связи между отдельными участниками. Однако этот режим WLAN используется не так часто — альтернативные методы, такие как Bluetooth, гораздо более распространены.

Наброски данных для связи в радиосетях указаны в стандарте IEEE 802.11 от Института инженеров по электротехнике и электронике (IEEE) в Нью-Йорке. Однако вначале безопасности уделялось не так много внимания: незашифрованная передача данных и отсутствие требований к аутентификации пользователей означали, что доступ к беспроводной сети имел любой человек в пределах соответствующей зоны. В конечном итоге требование безопасности беспроводных локальных сетей способствовало развитию следующих методов шифрования и аутентификации:

• Wired Equivalent Privacy (WEP): WEP — это самый старый стандарт шифрования WLAN, который был разработан еще в 1997 году. Он предлагает два метода аутентификации: Аутентификация открытой системы (включена для всех клиентов) и Аутентификация с общим ключом (активируется паролем). Кроме того, WEP включает методы шифрования RC4. Из-за различных недостатков WEP сегодня считается небезопасным и устаревшим.

• WLAN Protected Access (WPA): WPA основывается на архитектуре WEP и призван искоренить слабые места. Для обеспечения этого WPA работает с динамическим ключом на основе протокола целостности временного ключа (TKIP). Поскольку WPA также имеет определенные недостатки в безопасности, новые беспроводные точки доступа (с 2011 года) и все устройства с поддержкой WLAN (с 2012 года) больше не должны поддерживать этот протокол.

• WLAN Protected Access 2 (WPA2): современный, самый безопасный метод шифрования и аутентификации WLAN WPA2 был выпущен в 2004 году вместе со стандартом IEEE 802.11i. Вместо TKIP в WPA2 используется более современный метод шифрования AES. Поэтому при настройке WLAN всегда следует использовать более старые стандарты WEP и WPA, чем WPA2.

• WLAN Protected Setup (WPS): стандарт WPS не является ни методом передачи, ни методом шифрования, а скорее представляет собой функцию автоматической настройки, цель которой — облегчить настройку WLAN для новых пользователей сети. Аутентификация осуществляется нажатием кнопки (WPS PBC) — физически на точке доступа или виртуально через программно реализованную кнопку — или путем ввода PIN-кода (WPS PIN). Кроме того, сетевые настройки можно изменить с помощью USB-накопителя или через NFC (Near Field Communication).

Хотя WEP и WPA с WPA2 имеют законного, более безопасного преемника, некоторые операторы все еще используют эти устаревшие стандарты — до тех пор, пока они поддерживаются беспроводной точкой действия, чтобы зашифровать свою WLAN. Является ли это непреднамеренным или по причинам совместимости (для предоставления доступа старым устройствам), не имеет значения. Ясно лишь то, что подобные сети подвержены высокому риску несанкционированного доступа — одна из основных причин критической оценки безопасности WLAN. К дополнительным ошибкам, облегчающим злоумышленникам перехват данных, относятся:

• наличие стандартных имен пользователей и паролей для беспроводных точек доступа

• наличие небезопасных базовых конфигураций для беспроводных точек доступа

• неправильная реализация WPA2 и WPS.

Кроме того, беспроводные сети уязвимы к обычным DoS или DDoS атакам, а также к так называемым атакам «злых двойников». В последнем случае злоумышленники устанавливают в сети поддельные беспроводные точки доступа со специальной прошивкой. Пользователи сети принимают их за настоящие и подключаются к ним. Злой двойник отвечает собственным запросом аутентификации и получает данные доступа к WLAN от ничего не подозревающего сетевого устройства. Он также перенимает MAC-адрес клиента (MAC spoofing), получая все необходимые данные для установления соединения. Точки WLAN с публичным доступом особенно подвержены риску такого рода атак.

Перечисленные выше слабые места показывают, насколько важно ознакомиться с различными возможностями безопасности WLAN. Если вы рассчитываете получить наилучшую защиту с помощью брандмауэра и секретного пароля, то в случае целенаправленной атаки вы быстро убедитесь в обратном. Комплексная защита беспроводных сетей — это не просто включение маршрутизатора, пятиминутная настройка и поиск пароля, который нелегко угадать, но в то же время несложно запомнить.

Чем тщательнее вы отнесетесь к настройке и управлению, тем более безопасной будет ваша сеть в дальнейшем.

Беспроводные точки доступа — обычно маршрутизаторы — являются центральными устройствами управления сетью, поэтому они отвечают за ее безопасность. В частности, настройки, которые вы делаете для этого аппаратного компонента, определяют, сможет ли злоумышленник получить доступ к вашей беспроводной сети в течение нескольких секунд, или это останется лишь попыткой. Вот наиболее важные шаги по настройке:

Шаг 1: Создание индивидуального доступа администратора

Для того чтобы точка доступа могла быть настроена, необходимо, чтобы была запущена прошивка, которая обеспечивает пользовательский интерфейс в обычных интернет-браузерах сразу после вызова IP-адреса точки доступа. Доступ к этому интерфейсу осуществляется через учетную запись администратора с именем пользователя и паролем по умолчанию. Эти данные для входа в систему не являются уникальными, поскольку они одинаковы для всех устройств соответствующей модели, а также легко запоминаются, например, ‘admin’ (пароль и имя пользователя) или ‘1234’. Измените эту информацию для входа в учетную запись администратора в начале настройки. Вы можете записать ее и хранить в надежном месте, но не храните ее на компьютере без надлежащего хранения пароля.

Шаг 2: Выберите WPA2 в качестве метода шифрования 

Для шифрования вашей WLAN вам определенно следует выбрать WPA2, поскольку два предшественника WPA и WEP устарели и могут представлять угрозу безопасности. Комбинировать или смешивать WPA/WPA2 также не рекомендуется. Вместо этого используйте сетевые устройства, поддерживающие WPA2, и не полагайтесь на старые методы шифрования. Если вы используете программу настройки WPS, включайте ее только тогда, когда это необходимо.                                                                                                                        

Шаг 3: Создание безопасного пароля WLAN

До сих пор для WPA2 были известны только парольные атаки; в частности, атаки методом перебора и по словарю очень популярны среди киберпреступников. Поэтому важность сложного пароля WLAN нельзя недооценивать. Лучшая защита от алгоритмов дешифровки и словарей, которые используют инструменты, — создать ключ WLAN, состоящий из как можно большего количества символов, используя строчные и прописные буквы, а также цифры и специальные символы. Избегайте реальных слов и распределяйте символы случайным образом. Вы также можете сохранить пароль WLAN на бумаге в надежном месте, только не записывайте его на компьютере.

Шаг 4: Укажите неидентифицируемое имя сети

Меры безопасности WLAN (которые в первую очередь служат вашей личной защите), заключаются в формулировании не отслеживаемого идентификатора набора услуг (SSID). SSID отображает название вашей сети и доступен всем в зоне действия сигнала. Если вы не используете публичную точку доступа, вам следует избегать личных данных, которые могут указывать на вас, вашу компанию или ваше местоположение. Многие считают более безопасным, если они скрывают имя WLAN (Hidden SSID). Однако эта техника не полностью отпугивает злоумышленников и немного усложняет установку соединения для законных клиентов. Если вы скрываете SSID вашей WLAN, это может помешать некоторым устройствам увидеть точку доступа, поэтому они не смогут подключиться к ней.

Шаг 5: Включите автоматическое обновление прошивки

Чтобы ваша сеть WLAN всегда была безопасной, очень важно, чтобы микропрограмма беспроводной точки доступа была актуальной. Как и в случае с любым другим программным обеспечением, злоумышленники могут воспользоваться недостатками безопасности и получить права администратора или позволить вредоносному ПО проникнуть в систему. Некоторые точки доступа имеют функцию автоматического обновления установленной микропрограммы, которую можно быстро активировать. Если это не так, следует регулярно проверять, есть ли обновления для вашего устройства, которые можно загрузить и установить вручную.

IEEE 802.1X — это концепция безопасности на основе портов, которая предоставляет доступ клиентам с поддержкой подключения только после того, как они проверены и одобрены сервером аутентификации (RADIUS). Это происходит на основе предварительно составленного списка, который дает концепции безопасности информацию о том, разрешено ли запрашивающему клиенту подключаться к беспроводной точке доступа. Метод аутентификации опирается на расширяемый протокол аутентификации (EAP), который также поддерживает WPA2. С этим вариантом также упоминаются WPA2 Enterprise, WPA2-1X и WPA2/802.1X.

Если вы соответствующим образом настроили свою точку доступа, ваша беспроводная сеть уже имеет достойную защиту. Однако, в зависимости от ее предназначения, после завершения настройки необходимо выполнить различные задачи. Поскольку большинство всех беспроводных локальных сетей подключены к другим сетям — в основном через Интернет — вам следует настроить прилагаемый брандмауэр или создать свой собственный брандмауэр для фильтрации нежелательных подключений. Также полезно рассмотреть возможность установки системы обнаружения вторжений или системы предотвращения вторжений, чтобы обнаруживать и предотвращать атаки как можно раньше.

Если вы хотите предоставлять клиентам беспроводной доступ в Интернет, вам всегда следует работать с отдельным SSID, который вы создаете и настраиваете в дополнение к вашей рабочей WLAN. В любом случае, как оператор беспроводной сети, вы несете солидарную ответственность за то, как используется соединение, поскольку любое нарушение авторских прав может быть быстро отслежено. Чтобы обезопасить себя, вам следует отслеживать использование полосы пропускания и блокировать любые ненадежные сайты в настройках маршрутизатора.

Если WLAN используется в профессиональной среде, рекомендуется регулярно проводить проверки безопасности с помощью специальных инструментов. Они помогают имитировать распространенные хакерские атаки и выяснить, работают ли ваши меры безопасности WLAN. И в этом случае ко всему процессу обеспечения безопасности WLAN применим принцип: чем добросовестнее и точнее вы будете действовать, тем лучше. Обязательно

• настроить беспроводную точку доступа,

• установите дополнительные компоненты безопасности, такие как IEEE 802.1X, брандмауэр или система обнаружения вторжений,

• используйте рабочую и гостевую сети отдельно

• регулярно проверяйте, чтобы сетевые компоненты обновлялись и работали правильно.

Выполнив эти шаги, хакерам будет сложнее получить доступ к вашей WLAN.