Защита трафика беспроводной сети (часть 3)

Опубликовано: 21 Марта, 2023

  • Защита трафика беспроводной сети (часть 5)
  • Защита трафика беспроводной сети (часть 7)
  • Защита трафика беспроводной сети (часть 8)
  • Защита трафика беспроводной сети (часть 9)

Введение

В моей предыдущей статье я обсуждал дискуссию о том, следует ли вам изменить пароль по умолчанию для вашей точки беспроводного доступа. В этой статье я хочу продолжить обсуждение, рассказав о некоторых других настройках безопасности, которые обычно встроены в беспроводные точки доступа.

SSID

Одна из наиболее распространенных рекомендаций по безопасности в отношении беспроводных сетей заключается в том, что вам следует отключить широковещательную рассылку SSID. Если вы не знакомы с этой концепцией, SSID означает идентификатор набора услуг. На первый взгляд SSID выглядит как слово или короткая фраза, которую можно использовать для идентификации беспроводной сети. Например, SSID в моей собственной беспроводной сети — Posey.

Причина, по которой многие ИТ-специалисты рекомендуют отключать широковещательную рассылку SSID, заключается в том, что SSID — это больше, чем просто метка, которую можно использовать для идентификации беспроводной сети. SSID на самом деле является общим секретом, который используется для ограничения доступа к беспроводной сети. Другими словами, если кто-то не знает этот общий секрет, он не сможет подключиться к беспроводной сети.

Имейте в виду, что хотя SSID технически является общим секретом, он отличается от ключей WEP или WPA, которые также являются общими секретами. Я расскажу больше о WEP и WPA позже в этой серии статей.

Однако прямо сейчас я хочу вернуться и изучить понятие SSID как общего секретного ключа. Если SSID действительно является секретным ключом, используемым для защиты доступа к беспроводной сети, то почему большинство точек доступа транслируют SSID всему миру?

Я действительно думаю, что причина, по которой SSID так часто транслируется, связана с развитием беспроводных сетей. Несмотря на то, что SSID, вероятно, возник как механизм безопасности, быстро стало очевидно, что SSID представляет собой удобный механизм для различения беспроводных сетей. Даже операционная система Windows обрабатывает SSID так, как будто он предназначен для объявления о существовании беспроводной сети.

Итак, следует ли вам транслировать свой SSID или отключить трансляцию SSID? В конечном счете, отключение широковещательной рассылки SSID не сильно улучшает безопасность вашей сети. Когда вы отключаете широковещательную рассылку SSID, беспроводная точка доступа воздерживается от широковещательной передачи в ответ на кадры маяка и кадры запроса зонда. Другими словами, SSID не будет отображаться в списке доступных беспроводных сетей Windows.

Хотя это может добавить некоторую степень безопасности, SSID — это совсем не секрет. Даже если вы отключите широковещательную рассылку SSID, SSID по-прежнему будет передаваться в кадрах ассоциации и повторной ассоциации, а также в кадрах ответа зонда. Это означает, что любой, у кого есть анализатор пакетов, может легко обнаружить SSID вашей беспроводной сети, потому что каждый раз, когда законный пользователь подключается к вашей беспроводной сети, SSID передается в виде открытого текста. Все, что нужно сделать хакеру, это сидеть сложа руки и ждать.

Лично я считаю, что рассматривать ваш SSID как механизм безопасности — плохая идея, потому что это обеспечивает незначительное улучшение безопасности и может создать ложное ощущение безопасности. Что еще более важно, большинство старых драйверов беспроводной сетевой карты для Windows (и даже некоторые из более современных драйверов) не будут работать правильно, когда пользователь попытается подключиться к беспроводной сети, которая не передает свой SSID. Таким образом, я рекомендую идти дальше и рассматривать ваш SSID как идентификационную метку для вашей беспроводной сети, а не пытаться использовать его в качестве механизма безопасности.

Сказав это, я видел, как некоторые организации используют вводящие в заблуждение фильтры SSID, чтобы попытаться запутать хакеров. Например, я однажды видел, как компания, предоставляющая финансовые услуги, использовала SSID, который идентифицировал их сеть как принадлежащую местному ресторану.

Фильтрация MAC-адресов

Одним из наиболее эффективных методов защиты беспроводных сетей на уровне точки доступа является использование фильтрации MAC-адресов. Основная идея этого метода заключается в том, что, как и проводная сетевая карта, все беспроводные сетевые карты имеют уникальный адрес управления доступом к среде (MAC). Фильтрация MAC-адресов — это процесс, при котором вы создаете белый список, указывающий, какие MAC-адреса авторизованы для подключения к точке доступа.

Преимущество этого метода заключается в том, что даже если кто-то знает SSID вашей беспроводной сети и вашу парольную фразу WEP или WPA, он не сможет подключиться к вашей сети, если только он не использует сетевую карту, которую вы специально авторизовали (посредством внесения в белый список). MAC-адрес карты).

Так что, если фильтрация MAC-адресов является таким замечательным механизмом безопасности, вы можете удивиться, почему вы больше ничего о ней не слышали. Одна из причин, по которой фильтрация MAC-адресов не используется более широко в беспроводных сетях, заключается в том, что внедрение и поддержка фильтрации MAC-адресов связаны с большими административными издержками.

Фильтрация MAC-адресов очень хорошо работает в небольших организациях, но она просто непрактична для использования в крупных сетях корпоративного класса, потому что каждый раз, когда вводится в действие новая сетевая карта, MAC-адрес этой карты должен быть добавлен в фильтр MAC-адресов. Точно так же всякий раз, когда ноутбук или беспроводная карта выводятся из эксплуатации, администратор должен выяснить, какой MAC-адрес принадлежит этому устройству, и удалить его из белого списка.

Кроме того, в крупных компаниях часто бывают консультанты, аудиторы и другие гости, которым нужен доступ к беспроводной сети. Если вы используете фильтрацию MAC-адресов, это может затруднить подключение таких гостей к вашей беспроводной сети.

Процесс управления списком фильтров MAC может быть утомительным, но только что описанных административных издержек может быть недостаточно, чтобы помешать некоторым крупным организациям использовать его. Однако есть еще две проблемы, которые могут оказаться более серьезными препятствиями для использования фильтрации MAC-адресов.

Одна из таких проблем заключается в том, что фильтрация MAC-адресов реализована на уровне точки доступа. Хотя это может не быть проблемой для малых и средних организаций, в более крупных организациях могут быть десятки физических и виртуальных точек беспроводного доступа, и управление списком фильтров для каждого отдельного устройства может стать монументальной задачей.

Еще одним препятствием для использования фильтрации MAC-адресов является тот факт, что некоторые точки доступа требуют перезагрузки каждый раз, когда в список фильтров вносятся изменения. Эти перезагрузки могут быть чрезвычайно разрушительными, если организация вносит много изменений в список фильтров MAC-адресов.

Я понимаю, что некоторые утверждают, что все неудобства стоят затраченных усилий, если использование фильтрации MAC-адресов обеспечивает надежную защиту. Однако фильтрация MAC-адресов не является надежной.

Вообще говоря, хакер обычно не сможет изменить свою сетевую карту, чтобы назначить ей другой MAC-адрес. Точно так же хакер не сможет изменить ваш список фильтров, если ваш список фильтрации MAC-адресов не позволяет им проникнуть в вашу сеть. Причина, по которой фильтрацию MAC-адресов нельзя считать полностью надежной, заключается в том, что существуют способы использования программного обеспечения для подделки MAC-адреса. Например, я даже видел драйверы Windows для беспроводных сетевых адаптеров, которые имеют встроенную опцию для указания альтернативного MAC-адреса. Если хакер прослушивает вашу беспроводную сеть, он может легко получить MAC-адрес авторизованного сетевого адаптера. Получив адрес, они могут настроить свой компьютер на подмену этого адреса и получить доступ к вашей сети.

Значит ли это, что вам не следует использовать фильтрацию MAC-адресов? Конечно нет! Ни одна функция безопасности не идеальна. Хорошая безопасность — это всесторонняя защита. Другими словами, у вас должно быть так много функций безопасности, чтобы кто-то не мог проникнуть в вашу сеть. Я склонен думать, что фильтрация MAC-адресов нецелесообразна для крупных организаций (по крайней мере, если она выполняется на уровне точки доступа), но фильтрация MAC-адресов является очень жизнеспособным вариантом для малых и средних организаций, которые хотят повысить безопасность своей беспроводной сети.

Вывод

В этой статье я обсудил роли, которые широковещательная рассылка SSID и фильтрация MAC-адресов играют в безопасности беспроводной сети. В части 4 я расскажу о некоторых других доступных вам параметрах безопасности.

  • Защита трафика беспроводной сети (часть 4)
  • Защита трафика беспроводной сети (часть 5)
  • Защита трафика беспроводной сети (часть 7)
  • Защита трафика беспроводной сети (часть 8)
  • Защита трафика беспроводной сети (часть 9)
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023