Способы повышения безопасности Wi-Fi

Опубликовано: 20 Марта, 2023

Введение

Вы можете сделать гораздо больше, чтобы защитить свою беспроводную локальную сеть, чем просто включить шифрование. Нет, я не говорю о старых скрытых методах фильтрации SSID и MAC-адресов, которые легко могут быть обойдены хакерами Wi-Fi. Но здесь я поделюсь еще несколькими достойными методами, которые вы можете использовать для предотвращения прослушивания беспроводных сетей, атак и даже непреднамеренных уязвимостей безопасности.

Физически защитить сеть

Одним из важнейших, но часто упускаемых из виду рисков безопасности является физическое неправильное использование вашей сети Wi-Fi и сетевых компонентов, будь то преднамеренное или случайное, пользователями или посторонними. Например, если сетевые разъемы остаются открытыми, сотрудник может использовать собственную точку доступа, чтобы усилить сигнал Wi-Fi, не понимая, зачем и как включить шифрование для защиты от посторонних. Кроме того, кто-то может намеренно сбросить точку доступа к заводским настройкам по умолчанию, чтобы отключить безопасность Wi-Fi, предоставив им и другим людям в пределах досягаемости открытый доступ к сети.

Чтобы предотвратить физическое неправильное использование, убедитесь, что точки доступа и другие сетевые компоненты установлены вне поля зрения и/или недоступны для гостей и даже пользователей. Попробуйте проложить все кабели Ethernet внутри стен или разместить в кабелепроводе. Разместите или переместите разъемы Ethernet в более безопасные места и отключите те, которые не используются.

Используйте Enterprise Security с аутентификацией 802.1X

Широко известно, что защита WEP может быть легко взломана и небезопасна. Защищенный доступ Wi-Fi (WPA и WPA2) обеспечивает достаточную безопасность, но вы можете использовать два совершенно разных режима. Персональный режим (предварительный общий ключ) проще всего настроить и использовать, но он не подходит для бизнес-сетей. Вы должны создать глобальную статическую парольную фразу, которая сохраняется на устройствах конечных пользователей. Таким образом, чтобы предотвратить подключение кого-либо, покидающего компанию или украденного устройства конечного пользователя, вам придется изменить глобальную парольную фразу на всех точках доступа и устройствах конечных пользователей.

Режим предприятия (802.1X) более сложен в настройке и требует наличия сервера или службы аутентификации RADIUS, но обеспечивает лучшую безопасность. Пользователям могут быть назначены уникальные учетные данные для входа, которые можно легко изменить/отозвать, что полезно, когда сотрудники покидают компанию или теряют устройство Wi-Fi. Кроме того, пользователи не могут прослушивать сетевой трафик друг друга, как при использовании персонального режима.

Для получения дополнительной информации см. предыдущую статью: Развертывание WPA2-Enterprise Wi-Fi Security в малых предприятиях.

Защитите настройки клиента 802.1X

Хотя корпоративный режим WPA или WPA2 более безопасен, чем персональный режим, все же существуют уязвимости. Например, логины пользователей подвержены атакам «человек посередине» и взлому методом грубой силы. Однако защита настроек клиента 802.1X на устройствах конечных пользователей может помочь предотвратить атаки. Убедитесь, что функция проверки сервера включена на ПК с Windows и других устройствах, которые ее поддерживают.

Дополнительные сведения см. в предыдущей статье: Уязвимости корпоративной (802.1X) безопасности Wi-Fi.

Информируйте пользователей о рисках и уязвимостях

Есть много вещей, которые вы можете сделать как сетевой администратор, чтобы защитить свою сеть, но пользователи также могут помочь. Подумайте об обучении их основам сетевой безопасности и внедрите политику использования сети. Обсудите такие вещи, как требование авторизации от ИТ-отдела перед подключением и отключением устройств от сети, отказ от подключения к соседним сетям Wi-Fi и сообщение об утерянных ноутбуках и мобильных устройствах. Также обсудите социальную инженерию и то, как сотрудники должны быть осторожны с информацией, которой они делятся с другими.

Наложить ограничения Wi-Fi на пользовательские ПК

Как вкратце упоминалось в предыдущем разделе, вы должны сообщить пользователям, чтобы они не подключались к соседним сетям Wi-Fi, так как это может открыть их компьютер для возможного вторжения. Чтобы сделать еще один шаг, вы можете заблокировать другие сетевые имена (SSID) на ПК под управлением Windows Vista и более поздних версий. Вы можете использовать команды для добавления фильтров к тем SSID, которые пользователи могут видеть и к которым могут подключаться.

Начиная с Windows 7 и Windows Server 2008 R2, Microsoft включает функцию Wi-Fi под названием «Беспроводные размещенные сети». Это позволяет пользователям создавать виртуальные точки доступа, которые потенциально могут открыть вашу сеть для авторизованного доступа. Однако вы можете использовать правила групповой политики, чтобы запретить пользователям создавать беспроводные размещенные сети.

Подробнее об обеих этих проблемах и о том, как включить ограничения, вы можете прочитать в предыдущей статье: 4 скрытых угрозы безопасности Wi-Fi.

Проведите опрос сайта Wi-Fi

Вам следует периодически проводить опрос сайтов Wi-Fi, чтобы оценить работоспособность и безопасность вашей беспроводной сети. Вы можете провести базовый опрос, прогуливаясь с ноутбуком или мобильным устройством, просматривая простые показания сигнала и сведения о точке доступа на родном беспроводном интерфейсе, или использовать программу спотыкания, такую как inSSIDer в Windows или Wifi Analyzer для устройств Android. Следите за мошенническими точками доступа и точками доступа с неправильными настройками безопасности.

Установите систему предотвращения вторжений в беспроводную сеть (WIPS)

Чтобы помочь обнаружить мошеннические точки доступа, атаки типа «отказ в обслуживании» (DoS) и другие проблемы сетевой безопасности, рассмотрите возможность внедрения системы предотвращения вторжений в беспроводную сеть (WIPS). Дизайн и методы обнаружения WIPS различаются, но, как правило, они отслеживают поиск радиоволн, предупреждают вас и, возможно, останавливают мошеннические точки доступа или другие вредоносные действия. Есть много коммерческих поставщиков, предлагающих решения WIPS, например AirMagnet и AirTight Neworks. Существуют также варианты с открытым исходным кодом, такие как Snort.

Резюме

Мы обсудили несколько способов, которыми вы и ваши пользователи с вашим образованием можете повысить безопасность вашей сети Wi-Fi. Запомнить; не забывайте о физической безопасности: старайтесь размещать точки доступа и сетевые компоненты вне поля зрения и досягаемости. Для сетей с несколькими пользователями используйте безопасность Enterprise (802.1X). По крайней мере, для корпоративных ПК убедитесь, что настройки клиента 802.1X безопасны, и рассмотрите возможность фильтрации SSID, к которым пользователи могут подключаться, и отключения беспроводных размещенных сетей.

Чтобы выявлять мошеннические точки доступа, атаки и другие уязвимости системы безопасности, рассмотрите возможность проведения периодических обследований объектов, а также развертывания системы предотвращения вторжений в беспроводную сеть (WIPS).

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023