Мифы о безопасности Wi-Fi

Опубликовано: 19 Марта, 2023

Отсутствие трансляции SSID скрывает ваш Wi-Fi

С момента появления Wi-Fi, когда он только назывался 802.11, почти все беспроводные маршрутизаторы и точки доступа позволяли отключать широковещательную передачу идентификатора набора услуг (SSID), чтобы «скрыть» сеть. Как вы, возможно, знаете, это имя беспроводной сети, которое отображается в списке доступных сетей на устройствах Wi-Fi. Поскольку необходимо знать SSID сети, чтобы попытаться подключиться к ней, это рассматривается как метод, помогающий защитить беспроводные сети.

Однако вы можете не знать, что вы не можете полностью остановить отправку SSID по сети Wi-Fi. На устройствах, настроенных вручную с помощью SSID, могут быть отправлены тестовые запросы, содержащие SSID, для поиска сети. Это всего лишь одно из нескольких мест, где SSID отправляется независимо от того, отключено ли вещание. Хотя устройства конечных пользователей, такие как компьютеры с Windows или смартфоны, не раскрывают SSID из трафика, подобного этому, некоторые беспроводные ловушки и анализаторы увидят SSID и отобразят его в списке ближайших сетей. В зависимости от типа и количества подключенных устройств это раскрытие может произойти очень быстро, а также может быть вызвано некоторыми инструментами, отправляющими поддельный трафик.

На заре Wi-Fi большинство устройств конечных пользователей не указывали «скрытые» беспроводные сети в своем списке ближайших сетей. Таким образом, можно сказать, что их сеть более безопасна, поскольку люди не знают о ее существовании. Тем не менее, опять же, некоторые беспроводные заглушки и большинство беспроводных анализаторов всегда перечисляют безымянные сети, независимо от того, отключена ли трансляция SSID. Кроме того, сегодня большинство устройств конечных пользователей будут информировать пользователей об этих типах сетей в списке ближайших сетей. Хотя SSID не отображается, его можно восстановить с помощью правильных инструментов, как я уже говорил.

Отсутствие широковещательной рассылки вашего SSID также может негативно сказаться на производительности беспроводной сети. Например, ваши устройства могут отправлять больше тестовых запросов и ответов, потребляя ценное эфирное время и оставляя меньше трафика данных.

Включение фильтрации MAC-адресов безопасно

Почти все беспроводные маршрутизаторы и точки доступа также позволяют вам ограничивать, какие конкретные компьютеры и устройства могут подключаться. Ограничения накладываются вводом в адрес управления доступом к среде (MAC) устройств. Обычно вы можете либо ввести разрешенные адреса в белый список, а затем запретить все остальные адреса, либо ввести неавторизованные адреса в черный список, а затем разрешить все остальные адреса. Первый подход обычно упоминается, когда речь идет о безопасности беспроводной сети.

Некоторые считают, что сеть более безопасна, если вы используете фильтрацию MAC-адресов из белого списка, поскольку она предотвращает подключение устройств, не использующих авторизованный MAC-адрес. Я не совсем согласен; иногда это может обеспечить некоторую безопасность.

Однако имейте в виду, что подделать MAC-адрес очень легко; вы можете быстро изменить MAC-адрес большинства устройств Wi-Fi. Кроме того, MAC-адреса подключенных устройств могут быть легко обнаружены с помощью некоторых беспроводных ловушек и большинства беспроводных анализаторов. Таким образом, чтобы обойти фильтрацию MAC-адресов, нужно просто отслеживать эфир, подделывать MAC-адрес своего устройства, а затем пытаться подключиться. Если включена другая защита, такая как WPA2, они столкнутся с гораздо более серьезным препятствием. Однако, если безопасность сети зависит только от фильтрации, они, скорее всего, смогут полностью подключиться к сети.

Ограничение IP-адресов не позволяет другим подключаться

Чтобы устройство могло обмениваться данными в сети, ему должен быть назначен IP-адрес, автоматически назначенный через DHCP с сетевого маршрутизатора или назначенный вручную статический IP-адрес на устройстве. Некоторые считают, что ограничение количества IP-адресов, выдаваемых маршрутизатором, является методом безопасности.

Например, если есть 10 авторизованных устройств, они ограничат пул IP-адресов в DHCP маршрутизатора до 10 адресов. Таким образом, если дополнительные устройства попытаются подключиться, они не получат IP-адрес и, следовательно, не смогут общаться в сети. Другой способ заключается в том, чтобы отключить DHCP, а затем вручную назначить 10 устройствам IP-адрес, поэтому любые дополнительные устройства также должны быть вручную настроены с IP-адресом для подключения.

Проблема с этим методом безопасности заключается в том, что IP-адреса также могут быть назначены устройствам вручную, независимо от того, включен DHCP или нет. Кроме того, подобно MAC-адресам, IP-адреса могут быть обнаружены злоумышленниками с помощью некоторых беспроводных заглушек и большинства беспроводных анализаторов. Этот метод может немного замедлить процесс взлома Wi-Fi, но это, безусловно, не настоящий метод обеспечения безопасности.

Персональная безопасность (PSK) проще в использовании

Как вы, возможно, знаете, существует два очень разных режима безопасности Wi-Fi Protected Access (WPA и WPA2). Персональный режим, технически называемый предварительным общим ключом (PSK), обычно считается более простым в настройке и использовании, поскольку все, что вам нужно сделать, это создать пароль на беспроводном маршрутизаторе или точках доступа, а затем ввести этот пароль на компьютерах. и другие устройства Wi-Fi при попытке подключения. Другой режим, обычно называемый режимом предприятия, обычно считается гораздо более сложным в настройке и использовании, поскольку для включения аутентификации 802.1X необходимо использовать сервер RADIUS, что позволяет каждому устройству Wi-Fi и пользователю использовать свои собственные уникальные учетные данные для входа при подключении.

Я, конечно, согласен с тем, что персональный режим WPA и WPA2 гораздо проще настроить изначально; однако это также может быть самым сложным и трудоемким режимом с течением времени для надлежащей защиты в сетях бизнес-типа. Это все потому, что для Wi-Fi есть только один глобальный пароль, который также обычно сохраняется на устройствах, с которых вы подключаетесь. Таким образом, если сотрудник или сотрудник покидает организацию, он забирает пароль с собой. Кроме того, если мобильное устройство потеряно или украдено, пароль и возможность подключения могут попасть в чужие руки. Конечно, вы всегда можете изменить пароль Wi-Fi после возникновения таких ситуаций, но это требует времени и энергии, и его просто можно не заметить или проигнорировать.

Хотя для корпоративного режима WPA и WPA2 требуется сервер или служба RADIUS и управление учетными данными для каждого отдельного устройства или пользователя, гораздо проще и безопаснее изменить учетные данные для входа одного пользователя, чем распространять новый глобальный пароль для всех. с персональным режимом.

Резюме

Помните, что отсутствие широковещательной рассылки SSID сети не полностью скрывает имя сети; это может быть обнаружено правильными инструментами. Фильтрацию MAC-адресов можно легко обойти с помощью спуфинга, а также можно быстро избежать ограничения IP-адресов. Включение безопасности WPA2 с шифрованием AES — лучший подход, но, как правило, в корпоративном режиме, который использует аутентификацию 802.1X через сервер RADIUS.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023