Лучшие способы защитить вашу беспроводную сеть

Опубликовано: 19 Марта, 2023

Введение

Wi-Fi сильно отличается от Ethernet. Для подключения или прослушивания проводной части сети обычно требуется физический доступ к маршрутизатору, коммутатору или порту или кабелю Ethernet. Однако беспроводная часть сети может быть взломана, подслушана или прервана в любом месте в пределах зоны покрытия, которая может быть даже расширена за пределы обычного диапазона с помощью антенн с высоким коэффициентом усиления или направленных антенн. Часто это включает в себя области за пределами вашей физической безопасности, например, в соседних офисах, зданиях и парковках.

Кроме того, существует множество мифов, связанных с безопасностью беспроводной сети и методами, которые можно использовать для защиты Wi-Fi, например, отказ от широковещательной передачи SSID, фильтрация MAC-адресов или ограничения IP-адресов. Однако здесь я расскажу о некоторых из лучших способов защиты вашей беспроводной локальной сети, которые действительно обеспечивают хорошую защиту.

Включить безопасность WPA2 для шифрования

Некоторые предлагают использовать многоуровневый подход к безопасности Wi-Fi. Я не совсем согласен, но я определенно предлагаю сначала убедиться, что вы включили безопасность WPA2 с шифрованием AES в любой беспроводной сети или SSID для частного использования. Имейте в виду, что многие беспроводные маршрутизаторы и точки доступа предлагают опции WPA/WPA2 и AES/TKIP. Я предлагаю выбрать поддержку только безопасности WPA2 с шифрованием AES, так как это наиболее безопасный вариант. Таким образом, нет шансов, что беспроводные устройства будут подключаться к менее безопасному варианту защиты WPA с шифрованием TKIP, который более уязвим для взлома.

Если у вас есть какие-либо старые устройства, которые поддерживают только WPA с TKIP или даже более старую защиту Wired Equivalent Privacy (WEP), которых в наши дни осталось очень мало, я предлагаю попробовать посмотреть, может ли обновление программного обеспечения предложить WPA2 с AES. Если обновление невозможно или не включает поддержку, я предлагаю заменить устройство или беспроводной адаптер устройства.

Используйте корпоративный режим безопасности WPA2

Как вы, наверное, хорошо знаете, выбор между WPA и WPA2 — не единственный выбор, который у вас есть. Каждая версия может использоваться в двух очень разных режимах: персональный режим, технически называемый предварительным общим ключом (PSK), и корпоративный режим, в котором используется сервер RADIUS для обеспечения аутентификации 802.1X.

Хотя персональный режим (PSK) намного проще настроить на начальном этапе, корпоративный режим обычно является наиболее подходящим и безопасным вариантом для сетей бизнес-типа. Даже с учетом усилий, необходимых для настройки сервера или службы RADIUS для проверки подлинности 802.1X, корпоративный режим безопасности WPA2 может потребовать меньше усилий с течением времени по сравнению с персональным режимом.

Персональный режим предлагает только один или глобальный пароль, который должны знать все пользователи для подключения, и обычно он сохраняется на устройствах. Как только устройство или сотрудник покидает организацию, этот сохраненный пароль может быть использован кем-то другим для подключения к беспроводной сети. Таким образом, каждый раз, когда сотрудник или сотрудник уходит или устройство Wi-Fi украдено, глобальный пароль должен быть изменен, чтобы оставаться в безопасности. При использовании режима предприятия необходимо будет изменить учетные данные для входа только для затронутого устройства или пользователя.

Имейте в виду, что существуют размещенные службы RADIUS, которые очень полезны для тех, кто не хочет настраивать и запускать свой собственный сервер, или для ситуаций, когда это нецелесообразно, например, в очень маленьких или удаленных офисных сетях. Кроме того, эти услуги могут быть полезны поставщикам ИТ или управляемых услуг (MSP) для защиты сети нескольких клиентов без необходимости установки и обслуживания сервера в каждом месте.

Часто меняйте пароль, если используете личную безопасность

Если вы по какой-либо причине используете персональный или PSK-режим безопасности WPA2, возможно, только для нескольких устройств, которые не поддерживают корпоративный режим, вам следует часто менять глобальный пароль Wi-Fi. Частое изменение пароля может помочь предотвратить взлом беспроводной сети, а также полезно в случае, если администраторы не знают о потерянном или украденном устройстве.

Надлежащим образом защитить любой публичный доступ

Безопасность беспроводной сети — это не только шифрование. Подумайте также о физической безопасности вашей сети и объекта. Например, у вас может быть наилучшая настройка шифрования и вы можете менять пароль каждый час, но при этом вас могут взломать другими способами. Один из способов — кто-то получает физический доступ к вашему беспроводному маршрутизатору или точке доступа, а затем быстро выполняет восстановление заводских настроек с помощью кнопки восстановления на устройстве. Это приведет к удалению всех настроек маршрутизатора или точки доступа, включая любые настройки паролей или методов безопасности, что, вероятно, предоставит любому находящемуся поблизости полностью открытый доступ к беспроводной и проводной сети.

Убедитесь, что все сетевое оборудование находится вне досягаемости для общественности, и даже ограничьте доступ для сотрудников и сотрудников, чтобы уменьшить вероятность того, что любой инсайдер также сможет вмешиваться в сеть. Убедитесь, что точки доступа, расположенные по всему зданию или расположенные снаружи, установлены вдали от досягаемости, а также их сетевые кабели, чтобы никто не мог их сбросить или отключить. Поместите сетевой маршрутизатор, коммутаторы и другое сетевое оборудование в запирающийся шкаф или комнату с электропроводкой, чтобы предотвратить доступ и несанкционированное вмешательство. Убедитесь, что все сетевые кабели находятся вне досягаемости для общественности и даже пользователей внутри организации, чтобы уменьшить вероятность того, что кто-то перережет кабель и подключится к кабелю. Любые открытые или неиспользуемые порты Ethernet на коммутаторах или настенных розетках в здании должны быть отключены, чтобы никто не мог подключиться к ним.

Следите за мобильными устройствами

Поскольку тронутые, потерянные или украденные устройства Wi-Fi представляют собой угрозу безопасности. Независимо от того, используете ли вы персональный или корпоративный режим безопасности Wi-Fi, пароль обычно хранится на устройствах. Использование режима предприятия позволяет легко изменить учетные данные для входа в систему. Однако сначала вы должны знать, что устройство потеряно или украдено. Таким образом, вы должны внимательно следить за любым устройством, которое подключается к беспроводной сети. Сообщите сотрудникам и персоналу, кого они должны информировать об уязвимых устройствах.

Также обсудите сетевые политики, в том числе, какие устройства они могут подключать к сети. Также имейте в виду, что они обычно могут подключать свои личные устройства, такие как планшет из дома или личный смартфон, с вашего разрешения или без него, поскольку пароль может быть общеизвестен в организации и что его также можно легко раскрыть на устройствах, где пароль хранится.

Отслеживание мошеннических точек доступа

Помимо того, что люди восстанавливают заводские настройки точек доступа по умолчанию, другие беспроводные маршрутизаторы или точки доступа могут быть подключены без разрешения, что может открыть беспроводной доступ к сети. Это может даже быть сделано невинно сотрудниками или персоналом, например, для увеличения покрытия Wi-Fi. Чтобы помочь поймать эту и другие мошеннические или неправильно настроенные точки доступа, рассмотрите возможность включения некоторого типа мониторинга. Некоторые точки доступа включают в себя встроенное мошенническое сканирование или сканирование для обнаружения вторжений. Если ваши точки доступа не работают, рассмотрите возможность внедрения стороннего решения.

Резюме

Помните, что лучше всего включить поддержку только безопасности WPA2 с шифрованием AES и, скорее всего, с использованием корпоративного режима, чтобы устройства или пользователи имели свои собственные уникальные учетные данные для входа. Однако, если вы все же используете персональный режим, регулярно меняйте пароль, чтобы затруднить взлом, особенно после того, как сотрудники покидают организацию или устройства потеряны или украдены. И последнее, но не менее важное: не забывайте о физической безопасности сети и компонентов, включая отслеживание мобильных устройств, используемых в сети Wi-Fi.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023