Джон Росс - Wi-Fi. Беспроводная сеть
— не храните WEP-ключи в легкодоступном месте. В крупной сети может быть предпринята попытка сохранить их на локальной Web-странице или в текстовом файле. Не делайте этого;
— не используйте электронную почту для передачи WEP-ключей. Если посторонний украл названия учетных записей и пароли, похититель будет получать сообщения с вашими новыми ключами до того, как их получат ваши законные пользователи;
— добавьте другой уровень шифрования, например Kerberos, SSH или VPN поверх WEP-шифрования, интегрированного в беспроводную сеть;
— не используйте принятый по умолчанию SSID вашей точки доступа. Эти настройки хорошо известны сетевым хакерам;
— смените SSID на что-либо, не определяющее вашу работу или месторасположение. Если недоброжелатель обнаружит название BigCorpNet и, оглядевшись, увидит штаб-квартиру BigCorp напротив через улицу, он, скорее всего, целенаправленно проникнет в вашу сеть. То же касается домашней сети. Не называйте ее Перкинсы (Perkins), если это имя написано на внешней стороне вашего почтового ящика. Не используйте SSID, который звучит так, как будто ваша сеть содержит некоторого рода заманчивую информацию, — используйте непримечательное название, например пустое поле, «сеть- или даже строку из случайных символов (W24rnQ);
— смените IP-адрес и пароль вашей точки доступа. Принятые по умолчанию пароли для большинства инструментов конфигурирования точек доступа найти легко (и они часто повторяются от одного производителя к другому — совет: не используйте «admin»), поэтому они недостаточно хороши даже для защиты от ваших собственных пользователей, не говоря уже о посторонних недоброжелателях, намеревающихся использовать вашу сеть в своих собственных целях;
— отключите функцию «широковещательный SSID» для точки доступа, которая допускает реализацию подключений от клиентов без наличия правильного SSID. Это не дает гарантии, что ваша сеть будет невидима, но может помочь;
— включите функцию управления доступом для своей точки доступа. Управление доступом ограничивает подключения к сетевым клиентам с заданными МАС-адресами. Точка доступа будет отказывать в соединении любому адаптеру, чей адрес не присутствует в списке. Это может быть непрактично, если вы хотите разрешить другим посетителям пользоваться вашей сетью, но это полезный инструмент для домашней и малой офисной сети, где вы знаете всех своих потенциальных пользователей. Аналогично функции «широковещательный SSID» это не дает гарантии, но и не повредит;
— протестируйте защиту своей сети, попробовав найти ее с улицы. Возьмите портативный компьютер с запущенной программой сканирования, такой как Network Stumbler или утилита отображения состояния вашего сетевого адаптера, и начинайте отходить от здания. Если вы можете обнаружить свою сеть на расстоянии квартала, это же сможет и посторонний. Помните, что недоброжелатели могут использовать направленные антенны с высоким коэффициентом усиления, которые это расстояние увеличивают;
— воспринимайте сеть как широко открытую для коллективного доступа. Удостоверьтесь, что все использующие сеть сознают, что они используют небезопасную систем;
— распространяйте файловый доступ только на файлы, которые действительно хотите сделать доступными. Не открывайте весь диск. Используйте защиту паролем для каждого доступного элемента;
— используйте тс же инструменты защиты, которые использовали бы в проводной сети. В лучшем случае беспроводная часть вашей локальной сети является не более защищенной, чем проводная часть, поэтому вы должны соблюдать все те же предосторожности. В большинстве случаев беспроводная часть сети является гораздо менее защищенной, чем проводная;
— рассмотрите использование виртуальной частной сети (VPN) для дополнительной защиты.
Некоторые специалисты используют другой метод защиты беспроводной сети. Они принимают идею о том, что сеть 802.11b является незащищенной, поэтому даже не пытаются использовать встроенные функции защиты. Например, группа сетевой защиты Advanced Supercomputing Division NASA в Калифорнии установила, что «сеть сама по себе не обеспечивает надежной аутентификации и защиты от взлома» и что «функции защиты 802.11b лишь потребляют ресурсы, не обеспечивая взамен никакой реальной защиты». Поэтому она отключила все функции защиты 802.11b и использует вместо этого свой собственный файерволл беспроводной сети — Wireless Firewall Gateway (WFG). WFG представляет собой маршрутизатор, расположенный между беспроводной и остальной частью сети, поэтому весь входящий и исходящий сетевой трафик с беспроводных устройств (включая доступ в Интернет) должен проходить через шлюз.
Как дополнительное преимущество такой метод защиты сводит администраторскую долю в каждом пакете к минимуму, так как они не содержат аутентификации или шифрования. Это уменьшает количество битов в каждом пакете, что увеличивает эффективную скорость передачи данных по сети.
Другие операторы беспроводной сети используют VPN для управления доступом через свои беспроводные шлюзы. VPN добавляет другой уровень защиты от точки к точке к IP-слою (вместо физического уровня, где в 802.11b происходит шифрование) перед тем, как пользователь сможет работать в сети.
Сетевая защита необходима в двух случаях — сетевой администратор не хочет допустить проникновения в свою сеть неавторизованных пользователей, а индивидуальные пользователи не хотят, чтобы кто-то получил доступ к их личным файлам. Когда вы регистрируетесь в коллективной сети, необходимо принять некоторые меры предосторожности против чтения ваших файлов по сети.
Чтобы отключить File Sharing (Доступ к файлам) перед подключением к коллективной сети, используйте следующую процедуру в Windows 95, Windows 98 и Windows ME:
1. В Control Panel (Панель управления) откройте диалоговое окно Network (Сеть).
2. Выберите File and Printer Sharing (Доступ к файлам и принтерам).
3. В диалоговом окне File and Printer Sharing отключите функцию I Want to Give Others Access to My Files (Открыть доступ остальным к моим файлам).
В Windows 2000 и Windows ХР отсутствует центральное место для отключения доступа к файлам, поэтому вы должны отключать каждый доступ отдельно.[3]
1. Откройте окно My Computer (Мой компьютер).
2. Иконки для всех ваших доступных дисков и папок снабжены изображением руки. Для отключения доступа щелкните правой клавишей мыши по иконке и выберите Sharing and Security (Доступ и безопасность) в меню.
3. Отключите функцию Share This Folder on the Network (Открыть доступ к этой папке по сети).
4. Щелкните по кнопке ОК (Да), чтобы закрыть диалоговое окно.
5. Повторите процесс для каждой доступной папки или файла. Не забудьте о папке Shared Documents (Общие документы).
Возвращаясь в офисную или домашнюю сеть, вы должны выполнить процедуру в обратном порядке для возобновления доступа к файлам.
Другая проблема заключается в опасности отслеживания шпионом данных, пересылаемых по радиосвязи, и похищения конфиденциальной информации на лету. Это не настолько широко распространено, как получение доступа к сети и чтение файлов шпионом, но возможно. Шифрование и другие инструменты защиты могут усложнить декодирование данных, но лучше поступать с сетью Wi-Fi, как с сотовым телефоном: никогда не посылайте сообщение или файл с конфиденциальной информацией.
Инструменты защиты 802.11b
Инструменты защиты в спецификациях 802.11b не идеальны, но это лучше, чем ничего. Даже если вы решите их не использовать, перед отключением важно понимать, что они собой представляют и как работают.
Название сети (SSID)
Как уже говорилось в главе 1, каждая беспроводная сеть имеет название. В сети только с одной точкой доступа названием является ID набора основных служб — Basic Service Set ID (BSSID). Когда сеть содержит более чем одну точку доступа, название превращается в ID расширенного набора служб- Extended Service Set ID (ESSID). Стандартным обозначением всех сетевых названий является SSID — термин, который вы наиболее часто будете встречать в программах конфигурационных утилит для беспроводных точек доступа и клиентов.
При конфигурировании точек доступа для сети вы должны присвоить ей SSID. Каждая точка доступа и сетевой клиент в сети должны использовать один и тот же SSID. На компьютерах, работающих под Windows, SSID беспроводного адаптера должен также быть названием рабочей группы.
При обнаружении двух или более точек доступа с одинаковым SSID пользователь предполагает, что все они являются частью одной и той же сети (даже если точки доступа работают на разных радиоканалах), и связывается с точкой доступа, обеспечивающей наиболее сильный или чистый сигнал. Если вследствие помех или затухания данный сигнал ухудшится, клиент попытается перейти на другую точку доступа, которая, как он считает, принадлежит этой же сети.