Безопасность Wi-Fi: помимо защиты паролем

Опубликовано: 18 Марта, 2023

Введение

Вы, вероятно, знаете, что вы должны защитить паролем свой частный Wi-Fi, чтобы зашифровать беспроводной трафик и не дать другим подключиться к сети. Ни для кого не секрет, что защита Wi-Fi Protected Access (WPA2) является основной линией защиты, с персональным режимом (PSK) для дома и малого офиса и корпоративным режимом с аутентификацией 802.1X для бизнес-сетей.

Обновить прошивку

Не игнорируйте обновления прошивки для беспроводных маршрутизаторов и точек доступа. Прежде чем развертывать их, первое, что вы должны сделать, это проверить версию прошивки и убедиться, что она актуальна. Вы также должны периодически проверять после развертывания и использовать любую функцию уведомления об обновлении встроенного ПО, которую может предложить поставщик. Обновления прошивки могут содержать исправления и исправления для дыр в безопасности и других проблем, а также, возможно, добавлять дополнительные функции.

Выбирайте имя сети (SSID) с умом

Из соображений безопасности вам следует изменить сетевое имя по умолчанию, технически называемое идентификатором набора услуг (SSID), для ваших беспроводных маршрутизаторов или точек доступа, которое предварительно настроено поставщиком. Использование значения по умолчанию может упростить взлом предварительного общего ключа (PSK). Это связано с тем, что SSID используется в процессе хэширования для генерации ключа, а радужные таблицы (базы данных), используемые во время взлома методом грубой силы, обычно настраиваются с общими SSID по умолчанию. Использование уникального SSID немного усложнит процесс взлома для хакера.

Другая проблема безопасности с использованием SSID по умолчанию заключается в том, что беспроводные устройства не могут различать две разные сети, использующие один и тот же SSID. Таким образом, если ваша сеть не защищена (например, для вашего гостевого доступа), беспроводные устройства будут автоматически подключаться к любой сети с тем же SSID в другом месте. Если ваша сеть защищена паролем, а беспроводное устройство сталкивается с другой сетью с тем же SSID, но с другим паролем, оно сотрет первый сохраненный пароль, если вы подключитесь ко второй сети. Беспроводные устройства могут хранить только один пароль для каждого имени SSID.

Еще одна проблема безопасности, связанная с SSID, заключается в том, насколько они идентифицируемы. Возможно, вы не захотите, чтобы SSID совпадал с названием компании, адресом или другой быстро идентифицируемой информацией. Это в большей степени относится к сетям, где есть другие сети, поэтому хакеру может быть труднее атаковать вашу сеть из множества окружающих.

Изменить пароли администратора и ограничить доступ

Сменить пароль администратора по умолчанию не составит труда. Тем не менее, я удивлен, как часто я сталкиваюсь с сетями с маршрутизаторами и точками доступа, установленными по умолчанию, что дает легкий доступ любому достаточно любопытному, чтобы попробовать. Само собой разумеется, но убедитесь, что вы используете надежные пароли, длинные и сложные, со смешанными регистрами и специальными символами, если это разрешено.

При настройке сети следите за способами ограничения доступа администратора через веб-интерфейс. Некоторые поставщики включают специальные настройки для управления доступом, в то время как другие вы, вероятно, можете использовать правила брандмауэра, чтобы сделать то же самое. Рассмотрите возможность отключения доступа администратора в любой гостевой виртуальной локальной или беспроводной локальной сети или вообще через Wi-Fi.

Дважды проверьте правильность настройки VLAN.

Если вы используете виртуальные локальные сети (VLAN) для разделения трафика, рассмотрите возможность их проверки после установки точек беспроводного доступа или сетевых портов. Простая ошибка при настройке VLAN, тегов, правил брандмауэра или других сетевых настроек может остаться незамеченной в противном случае. Таким образом, подключитесь к каждому сетевому имени (SSID) и убедитесь, что вы назначены в правильную подсеть. Рассмотрите возможность выполнения некоторых ping-запросов, например, чтобы убедиться, что нет нежелательной маршрутизации между VLAN.

Мониторинг мошеннических точек доступа

Мошеннические точки беспроводного доступа — это те, которые не авторизованы или не настроены должным образом ИТ-отделом. Это может быть кто-то, намеренно подключающий свой собственный беспроводной маршрутизатор или точку доступа, с хорошими или плохими намерениями. В наши дни это может быть даже кто-то, включивший модем Wi-Fi на своем смартфоне или планшете.

Даже если кто-то настраивает свой собственный Wi-Fi из благих намерений, например, для расширения беспроводной сети, он может оставить его открытым для подключения других. Кроме того, это может вызвать помехи для других точек доступа в здании, если он не настроен на правильный канал.

Кто-то с плохими намерениями может также подключить свой собственный беспроводной маршрутизатор или точку доступа к свободному сетевому порту, оставив доступ широко открытым или настроив его с помощью известного ему пароля. В любом случае, они могли бы легко получить доступ к сети, даже сидя на стоянке.

Ограничение сетей, к которым подключаются пользователи

Вы можете сделать свой Wi-Fi чрезвычайно безопасным и практически непроницаемым, но ваши ноутбуки и беспроводные устройства по-прежнему могут быть легко взломаны. Например, кто-то может установить мошенническую точку доступа внутри или даже снаружи вашего здания, обманом заставив компьютер/устройство или пользователя подключиться к мошеннической точке доступа. После подключения мошенник потенциально может получить доступ к своим файлам и данным или выполнить взлом пароля реальной сети.

Хотя вы не можете ограничить, к каким сетям могут подключаться все устройства, это возможно в Windows, например, через Netsh.

Отключить защищенную настройку Wi-Fi (WPS)

Wi-Fi Protected Setup (WPS) был разработан, чтобы сделать шифрование сетей Wi-Fi быстрым и простым нажатием кнопки или вводом PIN-кода. Однако в этой технологии были обнаружены дыры в безопасности, позволяющие хакерам взломать PIN-код WPS и получить доступ к беспроводной сети. Хотя многие поставщики внесли изменения в свои маршрутизаторы и точки доступа с помощью этой технологии, чтобы предотвратить ее взлом, рекомендуется отключить ее, когда это возможно.

Проверка физической безопасности сети и здания

Вы можете использовать лучшее в мире шифрование и безопасность Wi-Fi, но при этом вся ваша сеть может быть взломана за считанные секунды при быстром восстановлении заводских настроек точки беспроводного доступа или при подключении к свободному сетевому порту. Таким образом, регулярно оценивайте физическую безопасность компонентов сети и здания. Убедитесь, что общественность и даже сотрудники не могут легко получить доступ к сетевым устройствам, кабелям и портам.

Резюме

Я обсудил многие проблемы и проблемы безопасности беспроводной сети, а также способы защиты от них, помимо шифрования Wi-Fi с помощью пароля. Безопасность беспроводной сети зависит от уровней. Как правило, чем больше методов безопасности вы используете или чем больше дыр в безопасности вы предотвращаете, тем меньше вероятность того, что хакер сможет получить доступ. В том же духе существует множество способов, которыми хакеры могут проникнуть в систему помимо взлома пароля, и предотвращение как можно большего количества этих уязвимостей делает вашу сеть более безопасной.

Запомнить; обновляйте свои сетевые компоненты с помощью последней версии прошивки, разумно выбирайте SSID и заменяйте эти пароли по умолчанию на точках доступа и других сетевых компонентах надежными паролями. Если вы используете VLAN в сети, еще раз проверьте, правильно ли они настроены на беспроводной стороне сети. Отслеживайте мошеннические точки доступа, ограничивайте сетевые устройства, к которым могут подключаться пользователи, и рассмотрите возможность отключения WPS. Также не забывайте о физической безопасности вашей сети и здания.

Есть много других способов, которые вы найдете в Интернете, которые помогут еще больше защитить вашу сеть. Некоторые часто упоминаемые, которые я здесь не обсуждал, — это скрытие SSID путем отключения его широковещательной передачи, включение фильтрации MAC-адресов и отключение/ограничение DHCP. Я не думаю, что это стоит делать в большинстве случаев, поскольку минусы обычно перевешивают плюсы.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023