Обзор безопасности беспроводной сети
Введение
По сетям передаются всевозможные конфиденциальные данные, поэтому безопасность является очень важной частью любой структуры беспроводной сети. Безопасность обеспечивает тот же уровень целостности и конфиденциальности данных, что и в проводной сети. Без должным образом реализованных мер безопасности любой беспроводной сетевой адаптер, находящийся в пределах досягаемости другого сетевого адаптера или точки доступа, может присоединиться к сети. Количество незащищенных точек беспроводного доступа вызывает тревогу — недавнее исследование показало, что более 90% точек доступа слабо защищены или вообще не защищены. Однажды я провел небольшое собственное исследование и обнаружил, что 3 из 5 проверенных мною общедоступных точек доступа не имели защиты вообще или WEP, что позволило мне взломать ключ за 15 минут с помощью свободно доступных инструментов в Интернете.
Так почему же такой высокий уровень безопасности? Ну, я бы сказал, что это, вероятно, связано с ленью и отсутствием знаний; люди не знают об этих вещах. Особенно в небольших компаниях и дома люди, как правило, придерживаются позиции «пока все включено и работает», что означает, что если после использования мастера настройки беспроводной сети они могут просматривать Интернет или получать удаленный доступ к файлам с беспроводного устройства, тогда все хорошо… БОЛЬШАЯ ошибка! Пренебрегать безопасностью беспроводной сети — это все равно, что оставлять входную дверь в свой дом постоянно открытой. Без какой-либо — или небольшой — безопасности это, по сути, то, что вы делаете; позволяя любому в пределах досягаемости прослушивать ваши сетевые пакеты, читать вашу электронную почту, бесплатно пользоваться Интернетом и даже получать доступ к вашим файлам.
С внедрением системы безопасности с помощью кнопки для домашних пользовательских продуктов мы можем ожидать увеличения внедрения безопасности беспроводной сети среди пользователей беспроводных маршрутизаторов. Основная цель безопасности с помощью кнопки — предоставить упрощенный и расширенный метод настройки и построения домашней сети. Поскольку так много людей, особенно домашних пользователей, не замечают важности безопасности как части построения своей беспроводной сети, кнопка становится средством обеспечения некоторой формы безопасности одним щелчком мыши или нажатием кнопки. Пока один может начать сомневаться в силе такой безопасности, другой напомнит вам, что что-то лучше, чем совсем ничего!
Если вы читаете это и все еще используете WEP, проверьте наличие обновлений драйвера и/или прошивки для вашего оборудования и, если возможно, перейдите на защиту WPA прямо сейчас! Кроме того, имейте в виду, что в следующий раз при покупке нового оборудования убедитесь, что продукт поддерживает как минимум WPA TKIP.
Угрозы безопасности беспроводной сети
С какими угрозами мы сталкиваемся сегодня в отношении беспроводных сетей? Информативный список был составлен Национальным институтом стандартов и технологий как часть их документации по беспроводной безопасности. Ниже приводится выдержка из этого документа.
На сегодняшний день приведенный ниже список включает некоторые из наиболее заметных угроз и уязвимостей беспроводных систем:
- Все уязвимости, существующие в обычной проводной сети, применимы и к беспроводным технологиям.
- Злоумышленники могут получить несанкционированный доступ к компьютеру агентства или сети голосовой связи (IP-телефонии) через беспроводные соединения, потенциально обходя любые средства защиты брандмауэра.
- Конфиденциальная информация, которая не зашифрована (или зашифрована с использованием неэффективных криптографических методов) и передается между двумя беспроводными устройствами, может быть перехвачена и раскрыта.
- Атаки типа «отказ в обслуживании» (DoS) могут быть направлены на беспроводные соединения или устройства.
- Злоумышленники могут похитить личность законных пользователей и выдать их за маскировку во внутренних или внешних корпоративных сетях.
- Конфиденциальные данные могут быть повреждены во время неправильной синхронизации.
- Злоумышленники могут нарушать конфиденциальность законных пользователей и отслеживать их физические перемещения.
- Злоумышленники могут использовать неавторизованное оборудование (например, клиентские устройства и точки доступа) для тайного получения доступа к конфиденциальной информации.
- Портативные устройства легко украсть, и они могут раскрыть конфиденциальную информацию.
- Данные могут быть извлечены без обнаружения с неправильно настроенных устройств.
- Вирусы или другой вредоносный код могут повредить данные на беспроводном устройстве и впоследствии проникнуть в проводное сетевое соединение.
- Злоумышленники могут через беспроводные соединения подключаться к другим агентствам с целью проведения атак и сокрытия своей деятельности.
- Злоумышленники, находящиеся внутри или снаружи, могут получить доступ к элементам управления сетью и, таким образом, отключить или нарушить работу.
- Злоумышленники могут использовать сторонние, ненадежные службы беспроводной сети, чтобы получить доступ к сетевым ресурсам агентства.
- Внутренние атаки могут быть возможны через специальные передачи.
Как и в случае с проводными сетями, должностные лица агентства должны быть осведомлены об ответственности за потерю конфиденциальной информации или за любые атаки, инициированные из скомпрометированной сети.
~ Источник: NIST, Соединенные Штаты Америки.
Как видите, на всех уровнях есть уязвимости, некоторые из которых обычно не приходят в голову, поэтому мы должны быть готовы к худшему и не принимать ничего как должное. Одним из ярких примеров может быть со ссылкой на вышеприведенный пункт о том, как легко украсть портативные устройства — мы можем принять простые превентивные меры для борьбы с такой угрозой. Не храните конфиденциальную информацию на своем портативном устройстве; брать только то, что абсолютно необходимо. Остальные данные оставьте в корпоративной или домашней сети или на съемном носителе. Также, если доступно, включите функцию автоматической блокировки (с паролем) и добавьте на устройство PIN-код; так что, когда вы включаете его, вам нужно будет ввести личный идентификационный номер, прежде чем он запустится.
Вопросы безопасности беспроводной сети
Ниже приведены несколько вещей, которые вам нужно задать себе при реализации безопасности вашей беспроводной сети.
- У меня включена какая-то форма ведения журнала? Ведение журнала важно, так как оно поможет вам отследить, кто пытается получить несанкционированный доступ к вашей сети. Он также будет выступать в качестве доказательства при судебном преследовании подозреваемого злоумышленника.
- Разрешить гостевой доступ? Если вы это сделаете, обязательно отделите свою корпоративную сеть от WLAN, разместив WLAN в своей демилитаризованной зоне или за пределами сети и установив между ними брандмауэр. Кроме того, не забывайте регистрировать и проверять действия гостевых пользователей, чтобы вы могли видеть, имеют ли место какие-либо нарушения.
- Где заканчивается мой беспроводной сигнал? Выполните обследование участка и узнайте, где именно начинается и заканчивается сигнал; знать свою границу.
- Я знаю, что в сети? Задокументируйте все, и когда новая точка доступа будет подключена к текущей сети, убедитесь, что вы знаете об этом. В более крупных компаниях отделы внедряют свои собственные WLAN, добавляя точку доступа к сети и не информируя об этом административный отдел, тем самым потенциально открывая дыру в сети.
- Выполнил ли я аудит безопасности беспроводной локальной сети? Убедитесь, что вы сканируете свою сеть, чтобы выявить известные уязвимости, и, если таковые будут найдены, примите меры как можно скорее!
- Безопасны ли беспроводные клиенты? Внедрить или изменить текущую политику безопасности, которая потребует от мобильных пользователей защиты своих ноутбуков с помощью антивирусного программного обеспечения и брандмауэра.
Советы по защите вашей беспроводной сети
Вы должны помнить о ряде вещей, которые помогут уменьшить вероятность нарушения безопасности в вашей беспроводной сети. Я составил список советов, которые, я думаю, будут полезны всем, у кого есть беспроводная сеть.
- Как и в случае с проводной сетью, делитесь только тем, что необходимо. Не делитесь целыми разделами, вместо этого делитесь папками. Кроме того, в зависимости от уровня конфиденциальности, вы всегда должны защищать паролем все, что используется совместно с помощью инструмента архивации.
- Если вы внедрили метод аутентификации WEP, обязательно используйте метод общего ключа, время от времени меняйте свои ключи WEP и максимально усложняйте их.
- Обязательно защитите точку беспроводного доступа надежным паролем; не просто оставляйте значение по умолчанию на месте!
- Отключите администрирование точки доступа через беспроводных клиентов. Это означает, что любые изменения в конфигурации точки доступа должны выполняться с машины, подключенной к проводной сети.
- В небольших сетях используйте фильтрацию MAC-адресов в качестве дополнительного средства безопасности. Не полагайтесь только на эту функцию, а используйте ее в сочетании с другим методом безопасности.
- Измените SSID по умолчанию на то, что понятно вам, но не посторонним. Это затруднит подключение людей к вашей сети. Обязательно измените его на что-то, что не будет выдавать слишком много информации о вашей сети.
- Отключить трансляцию SSID. Эта функция предназначена для упрощения подключения клиентов к сети, поскольку клиентская операционная система может автоматически обнаруживать сетевое имя. Это означает, что любой человек, находящийся в зоне действия вашей точки доступа, автоматически узнает о существовании вашей сети.
- Если вам нужен беспроводной доступ только в вашем здании, попробуйте разместить точку доступа в центре здания, чтобы уменьшить вероятность того, что вардрайвер* окажется в зоне действия вашего сигнала.
- Если вы готовы к падению скорости, то использование VPN будет более безопасным вариантом для беспроводной сети. Это довольно быстро и легко настроить и имеет большие преимущества по сравнению с другими средствами безопасности.
* Wardriver — это человек, который бродит со своим ноутбуком, собирая информацию о беспроводной системе.
Вывод
На этом мой обзор статьи о безопасности беспроводных сетей заканчивается. Мы рассмотрели, почему безопасность так важна для беспроводных сетей, я дал вам несколько общих советов по обеспечению безопасности сети и показал различные угрозы, с которыми можно столкнуться. Несмотря на мнение большинства людей, беспроводная сеть может быть безопасной. Тем не менее, существует острая потребность в лучшем обучении и более сильных реализациях безопасности.
Если вы новичок в мире беспроводной связи, то я надеюсь, что вы узнали, насколько важно обеспечить безопасность, независимо от размера сети. Если вы уже работали с беспроводными сетями и/или настроили беспроводную сеть, то, надеюсь, эта статья еще раз напомнила вам о необходимости быть в курсе последних событий в области безопасности беспроводной сети.
Информацию о различных доступных методах безопасности см. в моем Введении в беспроводную сеть, часть 3 — Безопасность, общие советы и рекомендации.