Версия для печати
Среда, 29 апреля 2009 01:22

О беспроводных сетях, советы и предложения

Оцените материал
(0 голосов)
Wired Equivalent Privacy (WEP)

Был разработан в конце 1990-х гг. WEP – это основной протокол, который тем менее часто игнорируется сетевыми администраторами из-за наличия в нем многочисленных недостатков. Первые версии WEP использовали 64-битное шифрование (вектор инициализации 40 + 24 бит). Быстрая и жесткая атака в состоянии сломать 64-битный WEP, в то время как пробитие более поздней 128-битной версии займет несколько часов. Это не лучший способ защиты от внешних посягательств, но, тем не менее, это лучше, чем ничего. Используется в основном индивидуальными пользователями. Одним из основных недостатков WEP является то, что в нем используется один ключ, и при увольнении кого-либо из сотрудников необходимо менять ключ на приемопередатчике и клиентских компьютерах.

Wired Equivalent Privacy version 2 (WEP2)

В 2004 г. IEEE предложил усовершенствованную версию WEP2, которая была избавлена от многих недостатков первой версии. В WEP2 используется алгоритм RC4, но со 128-битным вектором инициализации, что лучше, чем у предшественника, но все равно и ему не устоять против массированной атаки.

Wi-Fi Protected Access (WPA)

WPA предлагает шифрование через интегрированный протокол временного ключа (TKIP) с использованием алгоритма RC4. Он основан на протоколе 802.1X. По сравнению с WEP его эффективность улучшена за счет создания и распространение ключа для каждого пакета, интегрированного кода для сообщений и усиленного вектора инициализации. Недостаток заключается в том, что оборудование должно поддерживать этот тип безопасности, в противном случае придется покупать новое. Длина ключа WPA составляет от 8 до 63 символов, что улучшает защиту.

Wi-Fi Protected Access version 2
(WPA2)

Основанный на стандарте 802.11i WPA2 увидел свет в 2004 г. Он использует улучшенный способ шифрования - AES (Продвинутый стандарт шифрования). AES поддерживает ключи размером 128, 192 и 256 бит. Он совместим с WPA и использует новый набор ключей для каждой сессии, поэтому все отправляемые пакеты зашифрованы уникальным ключом. WPA2 существует в двух версиях – персональной и деловой. Для персональной версии необходим только приемопередатчик и она использует общий ключ для аутентификации. Деловая версия требует сервер аутентификации RADIUS и использует EAP.

Фильтрация адресов МАС

Я уже писал об этом в первой части и в статье о диагностике беспроводных сетей, но не будет лишним рассказать еще раз тем, кто не читал данные статьи, а также для напоминания. Фильтрация адресов МАС – это средство контроля сетевых адаптеров, которые имеют доступ к приемопередатчику. Список адресов МАС введен в приемопередатчик. Если беспроводной сетевой адаптер не найден в списке, ему будет отказано в доступе. Этот способ хорош при дополнительном использовании шифрования пакетов данных. Но помните, что этот способ защиты можно обмануть. Он используется для аутентификации совместно с WEP для шифрования.
Портативный компьютер с МАС адресом 00-0F-CA-AE-C6-A5 пытается получить доступ к беспроводной сети через приемопередатчик, который сравнивает этот адрес со списком адресов, имеющих право доступа, и разрешает или отказывает в доступе.

SSID (Service Set Identifier)

SSID или сетевое имя – это «секретное» имя, данное беспроводной сети. Я использую кавычки, так как этот секрет может быть легко раскрыт. По умолчанию SSID является частью каждого пакета, передаваемого по беспроводной локальной сети. Не зная этого имени, нельзя подключиться к сети. Каждый сетевой узел должен быть настроен с одним и тем же SSID приемопередатчика, что является головной болью сетевых администраторов.

Связь VPN (Виртуальная частная сеть)

Возможно, самым лучшим способом защиты будет установка связи VPN для беспроводной сети. В течение долгого времени это является самым надежным способом получения доступа к корпоративной сети через Интернет посредством формирования безопасного канала от клиента к серверу. Установка VPN может повлиять на производительность вследствие огромного объема шифрования, но зато вы не будете переживать, зная, что ваша информация в безопасности. Многие корпоративные администраторы предпочитают этот способ защиты, потому что на сегодняшний день он самый экономически выгодный из всех технологий шифрования. ПО VPN использует механизмы продвинутого шифрования, например, AES, которые значительно усложняют расшифровку трафика.

Существует несколько уровней технологии VPN, некоторые из которых достаточно дорогие и включает и оборудование и ПО. У Microsoft есть базовая технология VPN, которая используется в небольших и средних корпоративных сетях, - Windows 2000 Advanced Server и Windows Server 2003. Это более чем достаточно для сохранения безопасности вашей сети.

802.1X

С использованием 802.1X аутентификация производиться через сервер RADIUS (IAS на Windows Server 2003), где данные пользователя сравниваются с хранящимися на сервере. При первой попытке получения доступа к сети пользователь должен ввести пользовательское имя и пароль. Они сравниваются с сервером RADIUS и в соответствии с проверкой доступ разрешается или блокируется. Каждый пользователь имеет уникальный ключ, который систематически меняется. Хакеры могут взламывать коды, но для этого требуется некоторое время. Пока хакер сломает один код, он уже будет недействительным, так коды меняются автоматически каждые несколько минут. 802.1X – это упрощенный стандарт для EAP (расширяемый протокол аутентификации).

Советы

  • Старайтесь покупать беспроводной сетевой адаптер с возможностью подключения внешней антенны. Это усилит сигнал.
  • При использовании портативного компьютера с технологией Wi-Fi вне офиса или дома отключите функции Microsoft File и Printer sharing, которые предоставляют доступ к вашему компьютеру, для защиты от хакеров.
  • Если вы не хотите вмешательства других беспроводных приемопередатчиков или устройств, настройте свой приемопередатчик и клиенты на использование неперекрывающего канала, например, 1, 6 или 11.
  • Перед задействованием приемопередатчика смените для него пароль. Это скорее здравый смыл нежели некая хитрость, но очень многие упускают это из вида.
  • Приобретайте только тот приемопередатчик, который имеет встроенное обновляемое ПО. Это улучшает безопасность и удобство использования.
  • Старайтесь систематически обновлять ПО вашего приемопередатчика. Обновленное ПО обязательно обладает новыми и улучшенными характеристиками.
  • Выключайте Wi-Fi, если в нем нет необходимости. Вы не только защитите себя от хакеров, но и сэкономите заряд аккумуляторной батареи.
  • Время от времени проверяйте сеть на предмет неисправных приемопередатчиков. Если ваш работник приобрел дешевый приемопередатчик или сетевой адаптер и подключил их в корпоративной сети в обход системы защиты firewall, то это ставит под удар хакеров безопасность все сети. Это характерно для студенческих городков, где студенты приобретают оборудование и устанавливают свои приемопередатчики в комнатах.

Прочитано 3439 раз Последнее изменение Среда, 07 января 2015 16:15