Защита трафика беспроводной сети (часть 2)

• Защита трафика беспроводной сети (часть 4)
• Защита трафика беспроводной сети (часть 5)
• Защита трафика беспроводной сети (часть 7)
• Защита трафика беспроводной сети (часть 8)
• Защита трафика беспроводной сети (часть 9)

Введение

В прошлом месяце я написал первую часть этой серии статей, в которой рассказал о некоторых опасностях незащищенных беспроводных сетей. Я был очень удивлен количеством электронных писем, которые я получил в ответ на эту статью, и я хочу поблагодарить тех из вас, кто написал мне за все добрые слова. С учетом сказанного, некоторые из вас спросили меня, не начну ли я с основ в своем обсуждении защиты точек беспроводного доступа, и именно это я и собираюсь сделать. Для тех из вас, кто больше заинтересован в советах по безопасности корпоративного класса, я обращусь к ним позже в этой серии.

Великие дебаты о паролях по умолчанию

Почти каждая беспроводная точка доступа и беспроводной маршрутизатор имеют веб-интерфейс, который администратор может использовать для настройки устройства для работы в своей сети. Обычно доступ к этому интерфейсу можно получить, открыв веб-браузер и перейдя по адресу http://192.168.0.1. Хотите верьте, хотите нет, но именно этот интерфейс представляет серьезную угрозу безопасности беспроводной сети.

Чтобы дать вам представление о том, что я имею в виду, подумайте об этом. Пару месяцев назад мне позвонил друг. Ее интернет-провайдер прислал ей письмо, в котором говорилось, что они собираются перейти на другой набор DNS-серверов и что клиентам необходимо обновить свои интернет-маршрутизаторы с новыми адресами. Не очень хорошо разбираясь в компьютерах, мой друг не знал, что это значит и как внести необходимые изменения.

Поскольку моя подруга живет на другом конце страны, я не мог просто пойти к ней в офис и изменить для нее ее настройки. Пришлось объяснять ей процесс по телефону. Первое, что я попросил ее сделать, это войти в ее беспроводной маршрутизатор. Конечно, она не знала, как это сделать, поэтому я спросил ее, маршрутизатор какой марки она использует. Когда она сказала мне, что использует маршрутизатор Netgear, я быстро поискал в Интернете, какой пароль по умолчанию использует Netgear. Я сразу же смог сказать ей, что имя пользователя по умолчанию — admin (все строчные буквы), а пароль по умолчанию — password (все строчные буквы). Старые маршрутизаторы Netgear используют 1234 в качестве пароля по умолчанию.

Я хочу сказать, что я абсолютно ничего не знал о сети моей подруги, и тем не менее я смог войти в нее за пару минут, выполнив простой поиск в Google. Абсолютно ничто не мешает хакеру сделать то же самое. Таким образом, одним из ваших главных приоритетов в обеспечении безопасности вашей беспроводной сети должно быть изменение пароля точки доступа по умолчанию.

Несколько лет назад я провел презентацию по безопасности беспроводной сети перед группой ИТ-специалистов. В конце своей презентации я упомянул об изменении пароля точки беспроводного доступа по умолчанию в своем списке рекомендаций по безопасности. Каково же было мое удивление, когда кто-то из аудитории сказал мне, что лучше оставить пароль по умолчанию.

Несколько лет назад я слышал миф о том, что пароли беспроводных точек доступа не имеют значения, но, по общему признанию, я не придал этому мифу должного значения, чтобы даже потрудиться исследовать его дальше. Теперь у меня был ИТ-специалист, бросающий мне вызов по этому вопросу перед комнатой, полной других ИТ-специалистов.

Я не хотел выглядеть глупо, если я ошибаюсь, чтобы опровергнуть миф, но я также не хотел быть придурком и говорить парню, чтобы он перестал меня перебивать. Я решил попросить его объяснить свои рассуждения, чтобы мы все могли учиться друг у друга.

Парень объяснил, что точки беспроводного доступа — это не то, что вы настраиваете каждый день, и что вы можете заблокировать себя от маршрутизатора, если забудете его пароль. Он также утверждал, что мои опасения по поводу безопасности по поводу пароля по умолчанию неверны, поскольку диапазон адресов 192.168.xx, который точки беспроводного доступа используют по умолчанию, является немаршрутизируемым. Таким образом, кто-то должен быть физически подключен к сети, прежде чем он сможет взаимодействовать с точкой доступа.

Что ж, в одном он был прав. Диапазон адресов 192.168.xx не маршрутизируется, и вы должны быть подключены к сети, чтобы взаимодействовать с ним. Я думаю, что этот человек, вероятно, думал, что никто не сможет получить доступ к диапазону адресов 192.168.xx через ваше интернет-соединение.

Хотя вероятность того, что кто-то получит доступ к этому диапазону адресов через Интернет, низка, правда в том, что это не обязательно. Пользователь может напрямую подключиться к беспроводной точке доступа через беспроводное соединение. Таким образом, любой человек, находящийся поблизости и знающий IP-адрес беспроводной точки доступа по умолчанию, имя пользователя и пароль, может войти в веб-интерфейс точки доступа.

Так что это значит? Что ж, если злоумышленнику удастся войти в вашу точку доступа, это еще не значит, что он скомпрометировал компьютеры в вашей сети (пока). Точки беспроводного доступа имеют собственный встроенный механизм проверки подлинности, который полностью отделен от ваших контроллеров домена Windows. Таким образом, пользователь, который может войти в веб-интерфейс вашей точки доступа, не может автоматически войти в ваш домен Windows.

Сказав это, если пользователь может войти в вашу точку доступа, он владеет этой точкой доступа. Ничто не мешает этому пользователю изменить пароль точки доступа и заблокировать вас. Пользователь также может получить другую конфиденциальную информацию, изучив журналы точки доступа и настройки безопасности.

Это подводит меня к другому моменту. Парень, который поставил под сомнение необходимость смены пароля по умолчанию для точки беспроводного доступа, сказал, что если вы измените пароль и забудете, на что вы его изменили, то вы будете заблокированы в точке доступа. Что ж, то же самое можно сказать и о ситуации, когда мошеннический пользователь проникает в вашу точку доступа и меняет свой пароль от вашего имени.

Однако в любой ситуации вы не будете навсегда заблокированы. Точки беспроводного доступа имеют кнопку сброса, которую можно использовать для восстановления заводских настроек точки доступа по умолчанию. Конечно, если вы сбросите точку доступа, вам придется перенастроить ее, но кнопка сброса не позволит вам навсегда заблокироваться.

Вывод

На мой взгляд, вопрос о том, следует ли вам продолжать использовать пароль по умолчанию на беспроводной точке доступа или вам следует изменить пароль на что-то другое, даже не обсуждается. Просто невозможно отрицать тот факт, что продолжение использования пароля по умолчанию создает риски безопасности, которые можно легко уменьшить, используя другой пароль. Конечно, защита вашей беспроводной сети — это гораздо больше, чем просто изменение пароля по умолчанию для точки беспроводного доступа (хотя это важный первый шаг).

В части 3 этой серии я хочу поговорить о другом аспекте безопасности беспроводной сети, который часто вызывает споры. Некоторые ИТ-специалисты настаивают на том, что вы не должны транслировать идентификатор набора безопасности (SSID) вашей беспроводной сети, в то время как другие утверждают, что трансляция SSID безвредна. Я покажу вам обе стороны вопроса и выскажу свое мнение о том, стоит ли вам отключать трансляцию SSID.

• Защита трафика беспроводной сети (часть 4)
• Защита трафика беспроводной сети (часть 5)
• Защита трафика беспроводной сети (часть 7)
• Защита трафика беспроводной сети (часть 8)
• Защита трафика беспроводной сети (часть 9)