Wi-Fi роутер, також знаний як безпровідна точка доступу - це активний мережевий пристрій, що поєднує у собі функціональність маршрутизатора, комутатора (інколи просто моста), точки доступу та апаратного брандмауера (опціонально). На рисунку 1 зображено типовий і дуже популярний на сьогоднішній день Wi-Fi роутер TP-Link WR340G
Рисунок 1 - Wi-Fi роутер TP-Link WR340G
Ви плануєте розгорнути безпровідну мережу у себе вдома чи в офісі.. Багато операторів телекомунікаційних послуг, таких як Київстар та інші надають Вам таку можливість, продаючи разом з телекомунікаційними послугами апарат, що зветься безпровідною точкою доступу. Отже, неважливо як, але у Вас з'явився такий пристрій. Якщо працівники оператора не налаштують його, а Ви, не задумуючись та не прикладаючи великих зусиль, зробите це самі - в більшості випадків призводить до плачевних ситуацій: втрати (викрадення) конфіденційних даних, пошкодження системних файлів тощо. Щоб цього не трапилось, потрібно правильно та надійно налаштувати Wi-Fi роутер. В цій статті я не буду вдаватись в тонкощі налаштування конкретних моделей та технологій, а також детально пояснювати чому саме одні налаштування кращі за інші. Ви можете дізнатись цю інформацію у інших моїх статтях блогу, присвячених безпровідним мережам.
Нижче я дам кілька порад для підвищення захищеності безпровідної інфраструктури.
1. Задавайте унікальне ім'я (SSID) для Вашої точки доступу.
Назви типу: dlink, tp-link, mynetwork, home лише спростять зловмиснику процес взлому, так як для таких типових назв у них наперед заготовлені бази даних для перебору для конкретних SSID, що підвищує швидкодію перебору у сотні разів, ніж для перебору для наперед невизначеної SSID.
2. В якості протоколу шифрування даних, що є трафіком для Вашої ТД (точки доступу) завжди вказуйте лише WPA2 PSK з алгоритмом шифрування AES. Або WPA2 Enterprise з процедурою аутентифікації до віддаленого RADIUS-сервера.
Типовою помилкою багатьох власників ТД є те, що вони використовують інші протоколи шифрування. Зокрема WEP - є найбільш небезпечним. Цей протокол використовує потоковий алгоритм із зсувом регістра RC4, що дуже легко піддається алгебраїчному криптоаналізу і може бути зламаним за декілька секунд.
Протокол же, WPA2 поки що є останнім офіційним стандартом шифрування безпровідних мереж. І алгоритм AES - не є зламаним. Для шифрування даним протоколом єдиним методом зламу є повний та частковий перебір (bruteforce).
3. Пароль (також знаний як ключ/ PSK-фраза) для підключення до вашої точки доступу повинен бути настільки складним, наскільки Ви можете собі це дозволити. Використовуйте великі та малі літери та цифри. Не вказуйте персональних даних (рік народження, своє ім'я, телефон) в якості пароля. Довжина пароля також має значення (мінімальна довжина 8 символів, максимальна - 64). Хорошим паролем вважається на 13-14 символів приблизно.
Якщо Ваш пароль буде простим, типовим, та не специфічним, зловмиснику вдасться дізнатись його за допомогою перебору по словнику типових паролів.
4. Обов'язково змініть пароль на керування Вашою ТД через веб-інтерфейс віддаленого доступу.
Не залишайте пароль та логін (ім'я) за замовчуванням. Першим кроком, який зловмисник здійснить у процесі зламу Вашої мережі - дізнається модель Вашої ТД та логін/пароль, які по замовчуванню в ній використовуються. І попробує їх ввести
5. Встановіть потужність роботи антени ТД рівно такою, щоб сигнал затухав у межах стін Вашого офісу чи дому.
Таким чином Ви успішно зможете використовувати можливості безпровідної передачі даних на своїй території. А за її межі радіочастотні сигнали розповсюджуватись не будуть, а отже не зможуть бути перехоплені.
6. Відключіть широкомовне розповсюдження SSID вашої ТД (SSID Broadcast)
Таким чином користувачі пристроїв із Wi-Fi антенами при скануванні доступних мереж, не бачитимуть Вашу, що унеможливить навіть прості спроби підключення до неї тих, для кого це не передбачено. Для легітимних же користувачів, достатньо ввести один раз налаштування для підключення вручну і потім у них буде змога підключення навіть до Вашої прихованої ТД.
Увага! Відключення широкомовного розповсюдження SSID не приховає Вашої точки доступу остаточно. Є безліч утиліт, які допомагають виявити Вашу ТД навіть з відключенням цієї функції. Проте, про них знають мало людей, тому... :)
7. Застосовуйте фільтрацію по MAC-адресах
MAC-адреса - фізична адреса мережевого адаптера. Існує 2 способи МАС-фільтрації:
а) дозволити лише вказані МАС, а інші заборонити
б) заборонити лише вказані, а інші дозволити.
Більш дієвим способом є спосіб а). Визначте МАС - адреси мережевих адаптерів усіх комп'ютерних пристроїв та дозвольте їм підключення в налаштуваннях ТД. Всім іншим - забороніть. Це унеможливить підключення "інших" пристроїв без зміни на легітимну МАС.
8. Обов'язково залишіть ввімкненим брандмауер на ТД. Таким чином з'єднання по портах буде фільтруватись найпершим чином на Вашій ТД за вказаними Вами правилами (по замовчуванню у типових ТД всі порти фільтровані).
9. Відключіть можливість пінгування Вашої ТД взагалі і пінгування по портах зокрема. Таким чином Ви уникнете можливості DOS (Denial of Service) та DDOS (Distributed Denial of Service) - атак на Вашу ТД.
В іншій статті, присвяченій даній тематиці, буде продемонстровано практичну реалізацію та впровадження деяких із вищенаведених правил на конкретній ТД для тих, хто не знає як щось зробити.
Успіхів Вам!
Протокол же, WPA2 поки що є останнім офіційним стандартом шифрування безпровідних мереж. І алгоритм AES - не є зламаним. Для шифрування даним протоколом єдиним методом зламу є повний та частковий перебір (bruteforce).
3. Пароль (також знаний як ключ/ PSK-фраза) для підключення до вашої точки доступу повинен бути настільки складним, наскільки Ви можете собі це дозволити. Використовуйте великі та малі літери та цифри. Не вказуйте персональних даних (рік народження, своє ім'я, телефон) в якості пароля. Довжина пароля також має значення (мінімальна довжина 8 символів, максимальна - 64). Хорошим паролем вважається на 13-14 символів приблизно.
Якщо Ваш пароль буде простим, типовим, та не специфічним, зловмиснику вдасться дізнатись його за допомогою перебору по словнику типових паролів.
4. Обов'язково змініть пароль на керування Вашою ТД через веб-інтерфейс віддаленого доступу.
Не залишайте пароль та логін (ім'я) за замовчуванням. Першим кроком, який зловмисник здійснить у процесі зламу Вашої мережі - дізнається модель Вашої ТД та логін/пароль, які по замовчуванню в ній використовуються. І попробує їх ввести
5. Встановіть потужність роботи антени ТД рівно такою, щоб сигнал затухав у межах стін Вашого офісу чи дому.
Таким чином Ви успішно зможете використовувати можливості безпровідної передачі даних на своїй території. А за її межі радіочастотні сигнали розповсюджуватись не будуть, а отже не зможуть бути перехоплені.
6. Відключіть широкомовне розповсюдження SSID вашої ТД (SSID Broadcast)
Таким чином користувачі пристроїв із Wi-Fi антенами при скануванні доступних мереж, не бачитимуть Вашу, що унеможливить навіть прості спроби підключення до неї тих, для кого це не передбачено. Для легітимних же користувачів, достатньо ввести один раз налаштування для підключення вручну і потім у них буде змога підключення навіть до Вашої прихованої ТД.
Увага! Відключення широкомовного розповсюдження SSID не приховає Вашої точки доступу остаточно. Є безліч утиліт, які допомагають виявити Вашу ТД навіть з відключенням цієї функції. Проте, про них знають мало людей, тому... :)
7. Застосовуйте фільтрацію по MAC-адресах
MAC-адреса - фізична адреса мережевого адаптера. Існує 2 способи МАС-фільтрації:
а) дозволити лише вказані МАС, а інші заборонити
б) заборонити лише вказані, а інші дозволити.
Більш дієвим способом є спосіб а). Визначте МАС - адреси мережевих адаптерів усіх комп'ютерних пристроїв та дозвольте їм підключення в налаштуваннях ТД. Всім іншим - забороніть. Це унеможливить підключення "інших" пристроїв без зміни на легітимну МАС.
8. Обов'язково залишіть ввімкненим брандмауер на ТД. Таким чином з'єднання по портах буде фільтруватись найпершим чином на Вашій ТД за вказаними Вами правилами (по замовчуванню у типових ТД всі порти фільтровані).
9. Відключіть можливість пінгування Вашої ТД взагалі і пінгування по портах зокрема. Таким чином Ви уникнете можливості DOS (Denial of Service) та DDOS (Distributed Denial of Service) - атак на Вашу ТД.
В іншій статті, присвяченій даній тематиці, буде продемонстровано практичну реалізацію та впровадження деяких із вищенаведених правил на конкретній ТД для тих, хто не знає як щось зробити.
Успіхів Вам!
Немає коментарів:
Дописати коментар