Книга: Wi-Fi. Беспроводная сеть

Защита вашей сети и данных

Защита вашей сети и данных

Что вы можете предпринять для защиты от посторонних как оператор беспроводной сети? У вас есть два пути: вы можете смириться с фактом, что сети 802.11b не являются полностью защищенными, но использовать встроенные функции сетевой защиты для замедления работы недоброжелателей; можно отказаться от встроенных инструментов и вместо этого для изолирования использовать брандмауэр.

Понятно, что функции защиты, интегрированные в протоколы 802.11b.

неприемлемы для абсолютной защиты передаваемых данных. Если вы читали статьи о защите беспроводной сети в отраслевых журналах и изучали дискуссии на сетевых форумах, легко поверить, что Wi-Fi-сети такие же дырявые, как и вошедшее в пословицу решето. Но, возможно, реальная угроза вашей собственной сети этим преувеличивается. Помните, что большинство людей, близких к похищению ваших сообщений или проникновению в вашу сеть, не будут просто сидеть и ждать, когда вы начнете передавать данные. И, говоря совсем начистоту, большинство данных, пересылаемых через вашу сеть, на самом деле не представляют никакого интереса. Но инструменты шифрования доступны в каждой Wi-Fi-сети, поэтому вам на самом деле стоит их использовать.

Более серьезная угроза заключается не в том, что ваши сообщения будут перехватываться, а в том, что будут создаваться нелегальные к ней подключения. При этом неавторизованный пользователь сможет либо читать файлы, хранящиеся на других сетевых компьютерах, либо использовать ваше широкополосное подключение к интернету без вашего ведома или разрешения.

Имеет смысл позаботиться об управлении вашей сетью. Если вы выбрали реализацию защиты 802.11b, следует выполнить специальные шаги:

— расположите вашу точку доступа в середине здания, а не рядом с окном. Это уменьшит расстояние, которое должны преодолевать ваши сигналы, проходящие через стены;

— используйте шифрование WEP (Wired Equivalent Privacy — защита, эквивалентная проводной), имеющееся во всех сетевых узлах 802.11b. При наличии достаточного количества времени и нужного оборудования WEP несложно взломать, но шифрованные пакеты прочитать все же труднее, чем данные, пересылаемые без шифрования. В этой главе приводится больше информации о WEP-шифроваиии;

— чаще меняйте WEP-ключи. Извлечение ключей WEP-шифрования из потока данных требует времени, и каждый раз при смене ключей недоброжелателям, пытающимся похитить ваши данные, приходится все начинать сначала. Поменять ключи раз или два за месяц — это не слишком часто;

— не храните WEP-ключи в легкодоступном месте. В крупной сети может быть предпринята попытка сохранить их на локальной Web-странице или в текстовом файле. Не делайте этого;

— не используйте электронную почту для передачи WEP-ключей. Если посторонний украл названия учетных записей и пароли, похититель будет получать сообщения с вашими новыми ключами до того, как их получат ваши законные пользователи;

— добавьте другой уровень шифрования, например Kerberos, SSH или VPN поверх WEP-шифрования, интегрированного в беспроводную сеть;

— не используйте принятый по умолчанию SSID вашей точки доступа. Эти настройки хорошо известны сетевым хакерам;

— смените SSID на что-либо, не определяющее вашу работу или месторасположение. Если недоброжелатель обнаружит название BigCorpNet и, оглядевшись, увидит штаб-квартиру BigCorp напротив через улицу, он, скорее всего, целенаправленно проникнет в вашу сеть. То же касается домашней сети. Не называйте ее Перкинсы (Perkins), если это имя написано на внешней стороне вашего почтового ящика. Не используйте SSID, который звучит так, как будто ваша сеть содержит некоторого рода заманчивую информацию, — используйте непримечательное название, например пустое поле, «сеть- или даже строку из случайных символов (W24rnQ);

— смените IP-адрес и пароль вашей точки доступа. Принятые по умолчанию пароли для большинства инструментов конфигурирования точек доступа найти легко (и они часто повторяются от одного производителя к другому — совет: не используйте «admin»), поэтому они недостаточно хороши даже для защиты от ваших собственных пользователей, не говоря уже о посторонних недоброжелателях, намеревающихся использовать вашу сеть в своих собственных целях;

— отключите функцию «широковещательный SSID» для точки доступа, которая допускает реализацию подключений от клиентов без наличия правильного SSID. Это не дает гарантии, что ваша сеть будет невидима, но может помочь;

— включите функцию управления доступом для своей точки доступа. Управление доступом ограничивает подключения к сетевым клиентам с заданными МАС-адресами. Точка доступа будет отказывать в соединении любому адаптеру, чей адрес не присутствует в списке. Это может быть непрактично, если вы хотите разрешить другим посетителям пользоваться вашей сетью, но это полезный инструмент для домашней и малой офисной сети, где вы знаете всех своих потенциальных пользователей. Аналогично функции «широковещательный SSID» это не дает гарантии, но и не повредит;

— протестируйте защиту своей сети, попробовав найти ее с улицы. Возьмите портативный компьютер с запущенной программой сканирования, такой как Network Stumbler или утилита отображения состояния вашего сетевого адаптера, и начинайте отходить от здания. Если вы можете обнаружить свою сеть на расстоянии квартала, это же сможет и посторонний. Помните, что недоброжелатели могут использовать направленные антенны с высоким коэффициентом усиления, которые это расстояние увеличивают;

— воспринимайте сеть как широко открытую для коллективного доступа. Удостоверьтесь, что все использующие сеть сознают, что они используют небезопасную систем;

— распространяйте файловый доступ только на файлы, которые действительно хотите сделать доступными. Не открывайте весь диск. Используйте защиту паролем для каждого доступного элемента;

— используйте тс же инструменты защиты, которые использовали бы в проводной сети. В лучшем случае беспроводная часть вашей локальной сети является не более защищенной, чем проводная часть, поэтому вы должны соблюдать все те же предосторожности. В большинстве случаев беспроводная часть сети является гораздо менее защищенной, чем проводная;

— рассмотрите использование виртуальной частной сети (VPN) для дополнительной защиты.

Некоторые специалисты используют другой метод защиты беспроводной сети. Они принимают идею о том, что сеть 802.11b является незащищенной, поэтому даже не пытаются использовать встроенные функции защиты. Например, группа сетевой защиты Advanced Supercomputing Division NASA в Калифорнии установила, что «сеть сама по себе не обеспечивает надежной аутентификации и защиты от взлома» и что «функции защиты 802.11b лишь потребляют ресурсы, не обеспечивая взамен никакой реальной защиты». Поэтому она отключила все функции защиты 802.11b и использует вместо этого свой собственный файерволл беспроводной сети — Wireless Firewall Gateway (WFG). WFG представляет собой маршрутизатор, расположенный между беспроводной и остальной частью сети, поэтому весь входящий и исходящий сетевой трафик с беспроводных устройств (включая доступ в Интернет) должен проходить через шлюз.

Как дополнительное преимущество такой метод защиты сводит администраторскую долю в каждом пакете к минимуму, так как они не содержат аутентификации или шифрования. Это уменьшает количество битов в каждом пакете, что увеличивает эффективную скорость передачи данных по сети.

Другие операторы беспроводной сети используют VPN для управления доступом через свои беспроводные шлюзы. VPN добавляет другой уровень защиты от точки к точке к IP-слою (вместо физического уровня, где в 802.11b происходит шифрование) перед тем, как пользователь сможет работать в сети.

Сетевая защита необходима в двух случаях — сетевой администратор не хочет допустить проникновения в свою сеть неавторизованных пользователей, а индивидуальные пользователи не хотят, чтобы кто-то получил доступ к их личным файлам. Когда вы регистрируетесь в коллективной сети, необходимо принять некоторые меры предосторожности против чтения ваших файлов по сети.

Чтобы отключить File Sharing (Доступ к файлам) перед подключением к коллективной сети, используйте следующую процедуру в Windows 95, Windows 98 и Windows ME:

1. В Control Panel (Панель управления) откройте диалоговое окно Network (Сеть).

2. Выберите File and Printer Sharing (Доступ к файлам и принтерам).

3. В диалоговом окне File and Printer Sharing отключите функцию I Want to Give Others Access to My Files (Открыть доступ остальным к моим файлам).

В Windows 2000 и Windows ХР отсутствует центральное место для отключения доступа к файлам, поэтому вы должны отключать каждый доступ отдельно.[3]

1. Откройте окно My Computer (Мой компьютер).

2. Иконки для всех ваших доступных дисков и папок снабжены изображением руки. Для отключения доступа щелкните правой клавишей мыши по иконке и выберите Sharing and Security (Доступ и безопасность) в меню.

3. Отключите функцию Share This Folder on the Network (Открыть доступ к этой папке по сети).

4. Щелкните по кнопке ОК (Да), чтобы закрыть диалоговое окно.

5. Повторите процесс для каждой доступной папки или файла. Не забудьте о папке Shared Documents (Общие документы).

Возвращаясь в офисную или домашнюю сеть, вы должны выполнить процедуру в обратном порядке для возобновления доступа к файлам.

Другая проблема заключается в опасности отслеживания шпионом данных, пересылаемых по радиосвязи, и похищения конфиденциальной информации на лету. Это не настолько широко распространено, как получение доступа к сети и чтение файлов шпионом, но возможно. Шифрование и другие инструменты защиты могут усложнить декодирование данных, но лучше поступать с сетью Wi-Fi, как с сотовым телефоном: никогда не посылайте сообщение или файл с конфиденциальной информацией.

Оглавление книги


Генерация: 1.205. Запросов К БД/Cache: 3 / 0
поделиться
Вверх Вниз