Защита от прослушивания Wi-Fi
Введение
По умолчанию Wi-Fi не защищен. Да, в частных сетях вы можете включить шифрование, чтобы неавторизованные люди не могли подключаться и читать трафик, когда он проходит через эфир, но в зависимости от используемого вами режима безопасности подключенные пользователи могут по-прежнему иметь возможность прослушивать трафик друг друга. И хотя общедоступные сети могут использовать веб-аутентификацию (порталы авторизации), в большинстве случаев реальное шифрование не используется. Таким образом, любой находящийся рядом может подслушивать трафик точки доступа, даже если он не является платным клиентом.
Здесь я расскажу о проблеме прослушивания Wi-Fi и поделюсь некоторыми советами о том, как защитить пользователей в вашей частной сети и как защитить себя при использовании общедоступных точек доступа Wi-Fi.
Что может показать подслушивание
Чтобы лучше понять подслушивание Wi-Fi, вы должны знать, что можно сделать с трафиком Wi-Fi, который они захватывают из эфира. Они могут захватить ваши пароли и контент для служб или сайтов, на которые вы входите, которые не используют шифрование SSL, чаще всего это ваша электронная почта POP3/IMAP и FTP-соединения. Они также могут украсть ваши логины на незашифрованных сайтах, таких как Facebook и Twitter. А в частных сетях они также могут перехватывать передачу файлов.
К счастью, люди, подслушивающие ваш трафик Wi-Fi, не могут легко перехватить ваши учетные данные для входа или перехватить ваши сеансы на сервисы и сайты, использующие шифрование SSL, например на ваши банковские сайты. Но они по-прежнему подвержены другим известным уязвимостям SSL, что является совершенно другой темой.
Защита себя в общедоступных сетях
Поскольку большинство точек доступа Wi-Fi не используют шифрование, то есть не обеспечивают никакой защиты вашего трафика, подслушивание, скорее всего, будет вызывать больше беспокойства, чем в частных сетях. Другими словами, серьезно относитесь к безопасности точек доступа. Очевидно, что не в каждой точке доступа есть хакер Wi-Fi, но инструменты в наши дни настолько просты в использовании, что практически любой может их использовать. И для перехвата ваших паролей или взлома ваших учетных записей требуется не больше смартфона.
Лучший способ обезопасить свой трафик при использовании точек доступа Wi-Fi — это подключиться к виртуальной частной сети (VPN), возможно, к вашей рабочей сети, серверу, который вы настроили дома, или к размещенной службе, разработанной специально для обеспечения безопасности точки доступа., например Private WiFi или Hotspot Shield. При подключении к VPN весь ваш интернет-трафик отправляется с вашего компьютера/устройства через зашифрованный туннель в сеть провайдера VPN. Таким образом, он зашифрован и защищен от любых локальных перехватчиков Wi-Fi в точке доступа.
Если вы не можете (или не хотите) использовать VPN, вы должны по крайней мере убедиться, что любые службы или сайты, которые вы используете в точке доступа, защищены шифрованием SSL. Когда используется SSL, веб-браузеры будут иметь адрес https вместо http и отображать замок или какой-либо другой индикатор. Для программ-клиентов электронной почты, таких как Outlook или Thunderbird, необходимо убедиться, что SSL используется для соединений с серверами POP3 или IMAP и SMTP. Однако многие провайдеры электронной почты не поддерживают шифрование. Если у вас нет, вы можете изучить другие решения, такие как Neomailbox, Hushmail или 4Secure-mail.
Что касается общедоступной точки доступа, вы всегда должны убедиться, что любой веб-сайт, на который вы входите, который имеет дело с конфиденциальной информацией, или любой сервис, который вы используете (например, электронная почта и FTP), защищен шифрованием SSL. Это обеспечит безопасность информации, передаваемой на ваш компьютер и с сайта или службы.
Защита вашей частной сети
Хотя прослушивание Wi-Fi является более серьезной проблемой в ненадежных сетях, оно все же может быть проблемой в вашей частной сети. Ваши пользователи должны быть «доверенными», но у вас все еще могут быть мошеннические сотрудники или даже злоумышленники, прослушивающие проводную сеть и/или беспроводную сеть. Хотя использование режима Pre-Shared Key (PSK) безопасности WPA2 (также называемого персональным режимом) для вашей беспроводной сети шифрует данные и требует, чтобы люди вводили пароль для подключения, он по-прежнему позволяет любому в сети читать чужие движение.
Однако корпоративный режим безопасности WPA2 (также называемый режимом 802.1X или EAP) не позволяет пользователям читать трафик друг друга. Это связано с тем, что каждому пользователю предоставляются уникальные учетные данные для входа (имя пользователя/пароль и/или цифровой сертификат) для подключения к беспроводной сети вместо использования глобального пароля, как в персональном режиме. Когда пользователи входят в систему через корпоративный режим, им автоматически назначаются уникальные ключи шифрования, которые регулярно меняются.
Однако для корпоративного режима безопасности WPA2 требуется сервер аутентификации, обычно называемый службой удаленной аутентификации пользователей по телефонной линии (RADIUS). Но если вы используете Windows Server, вы можете использовать компонент Internet Authentication Service (IAS) в Windows Server 2003 R2 и более ранних версиях или компонент Network Policy Server (NPS) в Windows Server 2008 и более поздних версиях.
Если ваши текущие серверы не обеспечивают функциональность RADIUS, существует множество бесплатных и недорогих серверов, таких как FreeRADIUS, TekRADIUS, ClearBox и Elektron. Некоторые точки доступа (например, HP ProCurve 530 или ZyXEL NWA-3500, NWA3166 или NWA3160-N) даже имеют встроенные серверы RADIUS, что отлично подходит для небольших сетей. А если вы вообще не хотите запускать свой собственный сервер, есть размещенные службы, такие как AuthenticateMyWiFi.
Резюме
Как мы уже говорили, прослушивание Wi-Fi может стать реальной проблемой в общедоступных точках доступа Wi-Fi. Лучший способ защитить себя — подключиться к VPN или, по крайней мере, убедиться, что сайты или службы, в которые вы входите, используют шифрование SSL. Тогда для вашей частной сети безопасность не должна ограничиваться барьерами. Вы также должны побеспокоиться о внутренней безопасности и убедиться, что пользователи не могут отслеживать трафик Wi-Fi друг друга. А чтобы предотвратить отслеживание на проводной стороне, рассмотрите возможность внедрения защиты протокола Интернета (IPsec) для проверки подлинности и шифрования трафика Ethernet.