Основы безопасности беспроводной сети (Часть II)

Опубликовано: 14 Апреля, 2023

Руководство по безопасности беспроводной сети (Часть II)

«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».

В этой статье мы обсудим, что должен делать (или думать) каждый администратор беспроводной сети, чтобы обеспечить безопасность своих беспроводных локальных сетей (WLAN). Каждый раз, когда вы развертываете беспроводную сеть, вы всегда должны задавать себе следующие вопросы, изложенные в этой статье. Многое было сделано для защиты беспроводной передачи, но все еще упущены некоторые элементы, которые могут помочь вашей безопасности, которые многие администраторы до сих пор не делают и которые очень важны. Прежде чем читать эту статью, вы можете прочитать две другие мои статьи о беспроводных сетях, которые являются вводными и ведут к этой. Вы можете найти их здесь: Wireless Attacks Primer и Wireless Security Primer 101 (Часть I) этой статьи. Между всеми тремя статьями у вас должно быть хорошее понимание беспроводных сетей и основ безопасности, лежащих в их основе.

Включить и настроить WEP

От IEEE у нас есть такие стандарты, как 802.11b. В рамках этих стандартов должен быть способ защитить беспроводную передачу так же, как она защищена в проводной сети. WEP — отсюда и название «проводная эквивалентная конфиденциальность». Wired Equivalent Privacy (WEP) — это протокол безопасности, указанный в стандарте IEEE Wireless Fidelity (Wi-Fi) 802.11b, который предназначен для обеспечения беспроводной локальной сети (WLAN) с уровнем безопасности и конфиденциальности, сравнимым с обычно ожидается от проводной локальной сети. Радиоволны не ограничены стенами или проводами, поэтому трудно защитить доступ к беспроводной сети с помощью физического контроля. Если ваша беспроводная сеть не защищена должным образом, злоумышленнику будет очень легко проникнуть в вашу сеть, особенно если вы считаете, что ее безопасность, такую как проводная сеть, может быть заблокирована. WEP стремится установить защиту, подобную той, которую предлагают меры физической безопасности проводной сети, путем шифрования данных, передаваемых по WLAN. WEP с сильными сторонами 40/64 бит и 128 бит позволит вам обеспечить безопасность вашей беспроводной сети. Шифрование защищает очень уязвимую беспроводную систему между устройствами. WEP на самом деле поддается взлому, особенно в его слабых сторонах. Существуют инструменты, которые позволят вам захватывать трафик и анализировать его, а также запускать код для его взлома. Это не означает, что он бесполезен, 128 довольно сложно взломать, так что используйте его! Не оставляйте это. Я скажу вам так: если вы не используете WEP и оставляете свою беспроводную систему открытой, а не «закрытой» (где транслируется SSID), тогда WEP может быть вашим единственным шансом остановить проникновение, поэтому убедитесь, что вы его используете..

Защитите свой SSID

SSID называется идентификатором набора услуг (SSID для краткости) и используется для целей идентификации в WLAN. Передаваемые данные должны иметь правильный SSID между клиентом и точкой доступа, чтобы оба элемента можно было идентифицировать в сети. Вы можете думать об SSID как о своего рода пароле, используемом между устройствами, чтобы могло произойти подтверждение и передача данных. В некотором смысле, вы можете думать об SSID как об имени «Рабочая группа», используемом в операционных системах на базе Windows, если вам так проще думать и запоминать его. Что хорошо в SSID, так это то, что вы можете разделить с ними свою сеть… и здесь возникают проблемы. Многие администраторы не очень хорошо разбираются в беспроводной безопасности (поскольку эта технология редко используется и является довольно новой на рынке), поэтому когда вы упоминаете им такой инструмент, как «Netstumbler», они могут пожать плечами, потому что не уверены, что это такое. Netstumbler — это инструмент, который вы можете использовать для поиска открытых систем, транслирующих свои SSID, и с небольшим усилием ваша беспроводная локальная сеть может быть взломана. Ваши SSID лучше всего обслуживаются следующими тремя правилами:

  1. Измените SSID по умолчанию!
  2. Меняйте SSID через частые промежутки времени
  3. Убедитесь, что вы не используете открытую систему
  4. Не используйте очень простые или узнаваемые SSID.

Большинство SSID зависят от поставщика, у которого вы их покупаете. Другими словами, если вы купили точку доступа Linksys, вашим SSID будет Linksys. Это слишком просто, чтобы его можно было эксплуатировать и использовать против вас (с такими инструментами, как Netstumbler), поэтому убедитесь, что вы изменили SSID по умолчанию.

Вы также можете убедиться, что вы составляете расписание с частыми интервалами, чтобы менять свои SSID с течением времени. Это также очень распространенный элемент защиты вашей беспроводной локальной сети, который пропускается, забывается или вообще не рассматривается.

Убедитесь, что вы не используете открытую систему. Короче говоря, помните, что важно, чтобы SSID не транслировался, чтобы хакер мог подобрать его с помощью бесплатных инструментов, доступных в Интернете. Если этого не сделать, вся ваша инфраструктура безопасности WLAN будет разрушена.

Ни при каких обстоятельствах НЕ используйте схему SSID, которую легко угадать или использовать. Многих администраторов может заинтересовать теория KISS — не усложняйте задачу… и вы можете найти такой список SSID:

  • Финансовый отдел: SSID = «Финансы»
  • Отдел MIS: SSID = 'MIS'
  • Отдел маркетинга: SSID = "Маркетинг"

И так далее… Дело в том, что это невообразимо склонно к догадкам. Вместо этого вы можете сделать что-то вроде этого:

  • Финансовый отдел: SSID = 'Finfloor1'
  • Отдел MIS: SSID = 'MISfloor2'
  • Отдел маркетинга: SSID = 'Mrktfloor3'

Это всего лишь простая схема, чтобы доказать свою точку зрения, но, тем не менее, вы должны понимать, что в закрытой системе SSID не транслируется, поэтому его нельзя подобрать инструментами, его нелегко угадать и, что самое главное, его нельзя SSID по умолчанию, такой как «Linksys», который смехотворно легко использовать, потому что это имя поставщика продукта, используемого в качестве SSID. Ни на секунду не думайте, что нет списка со всеми доступными SSID по умолчанию, и что он «не» используется при активном проникновении в вашу беспроводную локальную сеть, думая, что это доставит вам неприятности… Безопасность SSID!

Изменить пароли

Это должно быть очень понятно, но иногда это упускается. Когда у вас есть интерфейс либо через веб-браузер, либо через командную строку, не менять пароль по умолчанию это полное безумие. Все, что вы делаете для защиты своей беспроводной сети, может быть сорвано в течение нескольких секунд после того, как вы оставите пароль по умолчанию на своих устройствах. Например, большинство поставщиков используют пустой пароль, пароль «пароль» или имя своего поставщика. Это плохо, и это должно быть вашим главным приоритетом после развертывания любого устройства. Смени пароль!

Изменить положение точки доступа

Если вы хотите внедрить беспроводное решение, вам нужно будет убедиться, что очень важно провести исследование площадки. Это выходит за рамки этой статьи, поэтому я поместил здесь ссылку, чтобы вы могли собрать некоторую информацию о том, почему опрос сайта является «критическим» при развертывании беспроводной сети:

http://www.naswireless.com/survey_proc.html

Убедитесь, что когда вы смотрите на размещение устройств в рамках опроса сайта, вы рассматриваете безопасность как основной интересующий вас вопрос. Очень важно, чтобы вы планировали, что покрытие будет излучаться в области, где необходимо покрытие, но не должно излучаться дальше этого, если это возможно, другими словами, если вам нужно только 20 футов покрытия, настройте свою точку доступа, чтобы обеспечить только 20 футов покрытия.. Хорошим маленьким трюком, который вы можете использовать, является размещение алюминия за точкой доступа, чтобы он мог ограничивать излучение из окна, чтобы у вас не было посторонних, пытающихся использовать Wardrive.

Повторите опрос беспроводного узла

Существует много инструментов (Netstumbler бесплатен), но есть и другие продукты от Cisco и других поставщиков, которые позволят вам найти так называемые «мошеннические точки доступа». По сути, это любая точка доступа или устройство, о котором вы не знаете или которое было установлено без разрешения отдела MIS. Выполнение обзора сайта поможет вам найти эти мошеннические точки доступа.

Использовать фильтрацию по MAC-адресам

Современные точки доступа позволят вам контролировать доступ на основе MAC-адреса. MAC-адрес — это физический адрес, записанный в карту сетевого интерфейса вашей системы, точку доступа или любое другое устройство, находящееся в вашей сети. Он записывается в шестнадцатеричном формате и выглядит так:

00-08-74-97-0Б-26

Это уникально для каждого устройства в сети, и хотя дубликаты существуют (из-за устаревшего оборудования, которое не было заменено), можно с уверенностью сказать, что MAC-адрес каждого устройства уникален. Поскольку они уникальны, их очень легко определить с помощью безопасности. Другими словами, если в вашей сети 10 компьютеров, у вас будет 10 уникальных MAC-адресов. Если вы хотите, вы можете применить эти MAC-адреса в фильтре почти во всех устройствах беспроводных точек доступа, которые существуют сегодня, чтобы отфильтровать MAC-адреса, которые не должны иметь доступ к точке доступа. Другими словами, если вы настроите разрешение только для этих 10 компьютеров, это все, что может участвовать в сети. Существуют две возможные проблемы:

  1. Если у вас очень большое количество точек доступа, управление может стать довольно пугающим.
  2. Спуфинг ARP (если злоумышленник может выяснить, что такое MAC-адрес разрешенной системы) — это возможная активная атака на сеть, которая обычно используется.

В целом, если у вас небольшая сеть, это хорошая форма безопасности, но если у вас большая сеть, вы можете перейти на другие формы безопасности, такие как Radius и IPSec.

Используйте Радиус или IPSec

В корпоративной настройке беспроводной сети вам потребуется инфраструктура безопасности, которая работает с вашим развертыванием. Это очень важно, потому что простые в использовании меры безопасности быстро покорят ваше сердце после развертывания. Служба удаленной аутентификации пользователей с коммутируемым доступом (RADIUS) — это клиент-серверный протокол и программное обеспечение, которые позволяют серверам удаленного доступа взаимодействовать с центральным сервером для аутентификации пользователей с телефонным подключением и авторизации их доступа к запрошенной системе или службе. Вы можете использовать RADIUS для хранения профилей пользователей в центральной базе данных, которую могут совместно использовать все устройства. Это почти то же самое с конфигурациями WLAN.

Вы также можете использовать IPSec для большей безопасности. IPSec (безопасность интернет-протокола) — это протокол, используемый для обеспечения безопасности на сетевом уровне или на уровне обработки пакетов сетевой связи. Другими словами, если вы используете IP, вы можете использовать IP Security или сокращенно IPSec. Это просто добавляет еще один уровень безопасности к вашей инфраструктуре WLAN. В любом случае, используйте их всякий раз, когда вы можете.

Другие параметры безопасности

В этом последнем разделе размещены многие другие элементы, которые вы можете развернуть или обдумать в отношении безопасности беспроводной сети:

Если возможно, всегда приобретайте беспроводные устройства с возможностью обновления. Поскольку это такая новая технология на рынке, изменения и улучшения происходят очень быстро.

Внимательно следите за своим продавцом. Убедитесь, что вы в курсе всех новейших выпусков, исправлений и примечаний по безопасности, выпущенных поставщиком. Другими словами, если вы использовали продукты Cisco, вы можете просмотреть сайт Cisco на наличие обновлений и примечаний к выпуску:

http://www.cisco.com/en/US/products/hw/wireless/prod_category_positioning_paper0900aecd8009298f.html

По возможности используйте защиту, отличную от WEP. Другими словами, вы можете реализовать множество других форм безопасности, некоторые из которых уже упоминались в этой же статье. Другими формами безопасности являются:

IEEE признала, что WEP очень плохо обеспечивает безопасность, поэтому 802.1x и EAP являются новыми фактическими реализациями безопасности беспроводной сети. 802.1x сам по себе не является основой безопасности беспроводной сети, но его сочетание с, скажем, EAP создаст для вас фантастическое решение при правильном применении.

Стандарт 802.1X предназначен для повышения безопасности беспроводных локальных сетей (WLAN), соответствующих стандарту IEEE 802.11. 802.1X обеспечивает структуру аутентификации для беспроводных локальных сетей, позволяя пользователю проходить аутентификацию в центральном органе. 802.1X использует существующий протокол Extensible Authentication Protocol (RFC 2284), который работает в сетях Ethernet, Token Ring или беспроводных локальных сетях для обмена сообщениями в процессе аутентификации.

В сумме

Приложите согласованные усилия, чтобы действительно попытаться реализовать любые (если не большинство) этих функций безопасности для беспроводных сетей. Вам не нужно осваивать каждую технологию, описанную здесь, просмотрите одну за другой и посмотрите, соответствует ли какая-либо из перечисленных идей беспроводной безопасности потребностям вашего бизнеса. Если да, то продолжайте читать другие статьи о безопасности беспроводных сетей на Windowsecurity.com и дайте нам знать, что вы думаете!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023