W-Lan | Типы

Существует 3 вида беспроводных сетей.
Намеренно открытая сеть.
Закрытая (запароленная/защищённая)
И непреднамеренно открытая, либо плохо защищённая сеть.

К первым относятся те сети, чьи владельцы дают пользоваться всем, либо слабо ограниченной группе людей своим интернетом. К примеру, существуют комьюнити по всему миру, которые дают доступ своим к своему выходу в интернет абсолютно безвозмездно, т.е. бесплатно. Эта группа людей, должна понимать , что именно они делают. А так же то, что компьютер и данные на нём надо защищать.

Ко вторым относятся те, кто ни с кем ни чем не хочет делится, ни данными, ни интернетом. Они либо сами закрыли рутер от внешнего проникновения, либо привлекли специалистов.

К третьим очень часто относятся те, кто либо даже не знает, что у него открытый доступ, либо беспроводная сеть наспех неграмотно отрегулирована.

Постепенно мы подошли к выводу, что требуется информация о защите компьютера от внешних атак. И о защите WLAN от несанкционированного входа. В данной заметке я попробую осветить аспекты по защите беспроводной сети.

Защита беспроводной сети

1. Выключайте рутер, если он вам не нужен. Берегите электроэнергию!

2. По возможности, необходимо изменить стандартные настройки рутера. Заменить пароль администратора (и имя пользователя, если можно) и идентификатор SSID (имя сети) на точке доступа.

3. Обновите прошивку рутера. Крайне редко, просто так, производители меняют прошивки. С каждым обновлением вы получаете либо новые функции, либо избавляетесь от известных дыр. Задумайтесь о замени вашего рутера или адаптера, если он не отвечает современным (нижеприведённым) методам защиты. Wi-Fi Alliance поможет узнать, что может ваш уникальный прибор.

4. Фильтруйте пользователей по MAC-адресам. Тогда доступ в сеть получают только авторизированные компьютеры. Фильтрация защитит вашу сеть от новичков, но более опытные хакеры могут легко перехватить MAC-адреса и подменить свой адрес на один из разрешённых.

5.Аутентификация и VPN. Аутентификация -принудительная регистрация на сервере в сети при помощи сертификатов, маркеров или паролей (также известных как Pre-Shared-Key). Настройка VPN и RADIUS-сервера, по моему скромному мнению должна производится профессионалами, поэтому в данной статье они рассматриваться не будут. Так же я не буду подробно освещать сегментирование сети. Несколько правильно настроенных недорогих маршрутизаторов NAT могут послужить прекрасной основой для создания защищённых сегментов LAN, с возможностью доступа из них в Интернет. Коммутаторы или маршрутизаторы с поддержкой VLAN помогут также с разделением сети. Функции VLAN встречаются на большинстве управляемых коммутаторов, однако они практически не встречаются в недорогих маршрутизаторах и неуправляемых коммутаторах.

6. Шифрование

В беспроводных сетях приходится выбирать между WEP, WPA или WPA2.

WEP (Wired Equivalent Privacy - безопасность, эквивалентная проводной сети) является наиболее слабым протоколом, но на текущее время он наиболее широко распространён и поддерживается практически всем оборудованием 802.11. Возможно, придётся остановиться на использовании этой технологии и потому, что не все производители беспроводного оборудования выпустили обновления прошивки с поддержкой WPA для оборудования 802.11b. Некоторые до сих пор выпускают оборудование, которое поддерживает только WEP, например - беспроводные VoIP-телефоны. Таким образом, приходится искусственно снижать безопасность сети из-за того, что не всё оборудование поддерживает более новые технологии.

Как WPA (Wi-Fi Protected Access), так и WPA2 обеспечивают хорошую защиту беспроводной сети, что достигается благодаря более стойкому алгоритму шифрования и улучшенному алгоритму управления ключами. Основное отличие между ними состоит в том, что WPA2 поддерживает более стойкое шифрование AES (Advanced Encryption Standard). Однако, ряд продуктов, поддерживающих WPA, тоже позволяют использовать алгоритм шифрования AES вместо стандартного TKIP.

Криптолог.net настоятельно рекомендует, по меньшей мере, использовать WPA.

Большинство потребительских точек доступа WPA и WPA2 поддерживают только режим с общим паролем WPA-PSK (Pre-Shared Key) WPA2 или WPA "Enterprise" (он же WPA "RADIUS") также поддерживается в некотором оборудовании, однако его использование требует наличия сервера RADIUS.

Для большинства частных беспроводных сетей использование WPA-PSK обеспечит вполне достаточную защиту, но только при выборе относительно длинного и сложного пароля. Как правильно создать пароль мы рассказывали здесь