Как защитить свою сеть Wi-Fi

92

При использовании беспроводного подключения вы, как правило, остаетесь один на один с проблемами безопасности. Системного администратора рядом нет, и настраивать защиту ПК приходится самостоятельно. Наши советы помогут решить эту задачу.

Открыть все порты Открыть все порты Firewall Windows XP & Vista Firewall Windows XP & Vista В этой статье

  • Что требовать от провайдера?
  • Оборудование для сетей Wi-Fi
  • Безопасное подключение
(вставка) Глоссарий

TCP (Transmission Control Protocol) — широко используемый в Интернете протокол передачи данных транспортного уровня, гарантирующий доставку передаваемых пакетов в нужной последовательности при неравномерном трафике. Протокол TCP опирается на установление логического соединения между клиентом и сервером и включает в себя механизм контроля перегрузки сети, обеспечивая автоматическое снижение скорости обмена данными.

DHCP (Dynamic Host Configuration Protocol) — протокол динамической конфигурации хост-компьютра. Сетевой стандарт, регламентирующий процесс присваивания сервером IP-адресов и другой конфигурационной информации машинам-клиентам.

ssiD (Service Set IDentifier) — идентификатор сети Wi-Fi (название сети), который позволяет устройствам отличать одну сеть от другой.

VPn (Virtual Private Network) — виртуальная частная сеть. Подсеть корпоративной сети, обеспечивающая безопасное вхождение в нее удаленных пользователей. Подсети используются для безопасной пересылки через Интернет конфиденциальных данных за счет внедрения (туннелирования) IP-пакетов внутрь других пакетов, которые затем маршрутизируются.

MAC-адрес (Media Access Control Address) — уникальный аппаратный адрес устройства, идентифицирующий каждый узел сети (компьютер, маршрутизатор, коммуникатор и т. д.).

ОЦЕНКА КАЧЕСТВ ПРОВАЙДЕРА: Информация — первый рубеж безопасности

Прежде чем подключиться к той или иной беспроводной сети, подумайте: не лучше ли будет предпочесть более надежные и менее дорогие варианты, такие как Ethernet или xDSL? Если же вам действительно необходима именно беспроводная сеть, начните с детального анализа провайдера, обратив внимание на три момента.

Прежде всего убедитесь, что у провайдера есть лицензия на предоставление услуг передачи данных. Такая лицензия, конечно же, не даст полной гарантии от хакерской атаки, однако при ее отсутствии шанс взлома сети увеличивается многократно.

Второе необходимое условие — наличие у провайдера разрешения на использование полосы частот и оборудования. Практика показывает, что во многих случаях, особенно когда речь идет о быстрых подключениях, провайдер откладывает получение необходимых разрешений. В результате он (а в худшем случае и вы тоже) может получить предписание надзирающего органа об отключении беспроводной точки доступа в течение 24 часов.

И третье условие безопасной работы в сетях Wi-Fi, которое необходимо выяснить прежде, чем вы заключите договор с провайдером: какую технологию он использует для беспроводной передачи данных? СОВЕТ Вам совершенно необязательно углубляться в дебри технических и технологических терминов — достаточно уточнить частотный диапазон и производителя оборудования.

ОБОРУДОВАНИЕ: Стандарты экономят деньги

Выбор оборудования, скорее всего, не станет для вас проблемой. Как правило, провайдеры беспроводных сетей строят свои транспортные системы на базе оборудования одного производителя. И вам, если вы впервые подключаетесь к сети Wi-Fi, предложат приобрести абонентское оборудование именно той марки, которая удобна провайдеру. Однако в этом-то как раз и кроется первая из многочисленных ловушек беспроводных сетей. Дело в том, что в девяноста случаях из ста провайдер рассчитывает получить дополнительную прибыль за счет продажи абонентам оборудования. Для того чтобы не потерять зря деньги в этой ситуации, надо не только знать стоимость этих устройств в розничной продаже (это очень просто выяснить, например, обратившись на сайты price.com.ua или www.hotline.ua), но также понимать, что некоторые устройства можно безболезненно заменить на более дешевые аналоги.

При этом стоит учитывать, что основные стандарты беспроводных сетей приняты уже довольно давно, и все производители стараются их придерживаться. А это, в свою очередь, означает следующее: если беспроводная сеть работает, например, в стандарте IEEE 802.11g, то в качестве абонентского оборудования можно использовать любые устройства, которые поддерживают данный стандарт.

СОВЕТ Если провайдер предлагает вам беспроводный мост за $60, не постесняйтесь спросить его о том, можно ли обойтись сетевой картой за $30.

ПРОЦЕСС ПОДКЛЮЧЕНИЯ: Стартуем в мир Wi — Fi

Теперь, когда все организационные, экономические и технологические вопросы решены, настало время применить беспроводное оборудование на практике. Мы укажем вам на несколько проблем, решение которых обеспечит безопасность вашего компьютера еще на этапе подключения.

В качестве примера мы воспользовались точкой беспроводного доступа DWL2000AP+ марки D-Link.

(1) Сетевой идентификатор. Первый этап настройки — соединение точки доступа с сетевой картой ПК и назначение (или получение по DHCP) сетевого адреса — мы не будем рассматривать подробно. Этот процесс хорошо описан в документации к любому сетевому устройству. Единственной особенностью точки доступа DWL2000AP+ является сетевой адрес, который в ней прописан по умолчанию: 192.168.0.50.

Соответственно IP-адрес вашего компьютера должен находиться в той же подсети и иметь маску 255.255.255.0.

Для настройки беспроводной части необходимо знать как минимум две характеристики сети, к которой вы подключаетесь: сетевой идентификатор SSID (или SID) и номер частотного канала, в котором работает данная сеть. Указание SSID в явном виде обязательно для всех беспроводных устройств. Данный параметр позволяет однозначно определить ту или иную беспроводную сеть. Некоторые беспроводные устройства самостоятельно сканируют эфир и останавливаются, как только находят первый SSID.

Многие провайдеры для повышения безопасности используют скрытый SSID (Secure SSID), который не виден при простом сканировании и точное наименование которого необходимо указывать в устройстве в явном виде.

Использование SSID — самый простой способ обеспечения безопасности беспроводных сетей. Пользователю в этом случае необходимо, не обращая внимания на состояние устройства, сразу после инсталляции ввести в поле SSID то значение, которое сообщил ему провайдер. Особо следует обратить внимание на то, что возможна ситуация, когда вы попадете не в свою сеть. Хорошо, если это окажется беспроводная сеть соседнего подъезда или офиса.

Гораздо хуже, если это будет хакерская ловушка. Поэтому к заполнению пунктов меню «Wireless» необходимо подойти максимально внимательно.

(2) Шифрование. Второй шаг обеспечения безопасности — включение протокола шифрования. Очень хорошо, если это протокол WPA. Если же в качестве протокола шифрования используется устаревший WEP, надежность беспроводной сети значительно снижается.

На практике довольно часто встречаются случаи, когда протокол шифрования может быть вообще отключен, а безопасность соединения обеспечивается на уровне VPN-туннеля. В таком случае нагрузка по защите сети переносится с беспроводного сетевого оборудования на операционную систему. Вообще говоря, любой способ шифрования имеет свои достоинства и недостатки, а потому при настройке шифрования беспроводного соединения необходимо в точности следовать указаниям провайдера.

В устройстве DWL 2000 АР+ эти данные вводятся в меню «Wireless» на вкладке «Ноmе».

Расширенные настройки беспроводного соединения, как ни странно, менее важны для обеспечения безопасности. Удобнее всего, когда беспроводная точка доступа используется в качестве беспроводного моста (Wireless Bridge) и просто транслирует трафик с одного интерфейса на другой. При таком применении, во-первых, важные сетевые соединения осуществляются с защитой более высокого уровня (например, VPN), а во-вторых, соединение относится к типу «точка-точка».

(3) Фильтрация. Если устройство DWL 2000 АР+ используется в качестве точки доступа беспроводной сети, то имеет смысл организовать в ней фильтрацию МАС-адресов.

Тип соединения задается на вкладке «Advanced» в пункте меню «Mode». Фильтрация МАС-адресов настраивается в пункте меню «Filters». Фильтрацию можно отключить («Disable MAC Filters»), включить в режиме запрета всех адресов, кроме заданных («Only allow MAC-address(es) listed bellow to connect…») либо в режиме разрешения всех адресов, кроме заданных («Only deny MAC-address(es) listed bellow to connect…»).

Следует отметить, что сама по себе фильтрация по МАС-адресам не гарантирует защиту от злоумышленника, поскольку МАС-адреса уже научились подделывать не только хакеры с помощью специальных программ, но и вирусы. Иногда даже сами производители выпускают сетевые карты с изменяемым МАС-адресом. Тем не менее, в реально работающей беспроводной сети такой механизм стоит задействовать хотя бы для того, чтобы создать определенные трудности малолетним компьютерным хулиганам.

(вставка) Закрыть все порты?

Даже безусловное выполнение всех требований безопасности сетей, устанавливаемое для вас провайдером при подключении, само по себе не гарантирует того, что вы не окажетесь объектом сетевой атаки. А потому необходимо уделить внимание и личным средствам безопасности — программным брандмауэрам. И такие мощные приложения, как Agnitum Outpost Zone Alarm, Tiny Personal Firewall и даже персональный брандмауэр, встроенный в Windows ХР SP2, являются различными вариантами одного и того же подхода к обеспечению безопасности ПК пользователя. Правильных, проверенных временем способов настройки брандмауэров существует всего два.
Первый, наименее безопасный, хотя и гораздо более удобный способ заключается в том, что пользователь открывает все порты и потом уже закрывает их по одному, по мере необходимости.

Второй способ — обратный первому — состоит в том, что вы закрываете все, а в дальнейшем открываете порты и даете разрешение программам лишь при необходимости подключения. Разумеется, второй способ наименее удобен с точки зрения простого пользователя, поскольку ему придется по мере необходимости выяснять и открывать необходимые для работы сетевых приложений порты. Тем не менее, лучше всего использовать именно этот способ, или как компромиссный вариант применять режим, подобный «режиму обучения» в программе Agnitum Outpost когда приложение само спрашивает, как поступать с неизвестной сетевой активностью.

(вставка) Бесплатный защитник

Весь процесс настройки персонального брандмауэра на примере встроенного средства Windows выглядит так. В панели управления выбираем «Брандмауэр Windows» и сразу же включаем его, причем галочку в поле «Не разрешать исключения» ставим в обязательном порядке. Далее переходим на вкладку «Исключения», которая в нашем случае будет как раз отвечать за то, что необходимо пропустить. В списке стандартных исключений, присутствующих по умолчанию, мы не рекомендуем использовать без крайней необходимости «Дистанционное управление рабочим столом» и «Удаленный помощник». Если вы не используете локальную сеть, то «Общий доступ к файлам и принтерам» вам тоже не нужен.

Кстати, этот продукт отличается от многих других еще и тем, что владельцу компьютера в нем по умолчанию разрешается просматривать веб-страницы и читать почту. Исключения в данном случае нужны лишь для того, чтобы разрешить доступ пользователям из внешней сети на ваш компьютер. Например, если у вас установлен веб-сервер, то необходимо открыть на компьютере порт 80 протокола TCP. Разблокировать данный порт легче всего, если на вкладке «Исключения» в меню конфигурации брандмауэра разрешить уведомления при блокировании. Как только кто-то снаружи захочет присоединиться к вашему компьютеру, брандмауэр спросит вас о дальнейших действиях.

(4) Log -файлы. Особое место в обеспечении безопасности следует отдать журналам событий. Именно они порой оказываются единственным средством, позволяющим разобраться в причинах и последствиях сетевых атак. Для контроля безопасности точку доступа DWL-2000АР+ можно настроить на журналирование всех событий, причем возможно совместное использование устройства с сервером журналов — для этого необходимо указать его IP-адрес, и далее журналы будут автоматически сохраняться на сервере. Кроме того, полезным будет контроль текущего состояния устройства на вкладке «Status». Здесь можно всегда просмотреть текущие параметры устройства — такие как физический МАС-адрес, логический IP-адрес, маска подсети, шлюз, параметры сервера DHCP, SSID, шифрование, канал и режим работы.

СОВЕТ Если вы плохо разбираетесь в сетевых технологиях, просто дайте просмотреть ваш журнал событий специалисту — он подскажет, какие слабые места имеются в вашей системе и совершались ли атаки на ваш ПК.

Вывод

Современные технологии позволяют обеспечивать достаточно высокий уровень безопасности работы в беспроводных сетях. Многое здесь, разумеется, зависит от провайдера, но большую часть работы по защите компьютера вам придется выполнить самостоятельно. В конечном итоге все рекомендации можно свести к двум общим положениям: будьте предельно внимательны и не торопитесь; старайтесь не снижать уровень безопасности даже в том случае, если он немного мешает комфортной работе.

ПОДЕЛИТЬСЯ


Предыдущая статьяМесто преступления: Интернет (Часть 3. Отравленные пакеты)
Следующая статьяРакета среди жестких дисков
КОММЕНТАРИИ



Загрузка...