Защита трафика беспроводной сети (часть 4)

Опубликовано: 21 Марта, 2023

  • Защита трафика беспроводной сети (часть 7)
  • Защита трафика беспроводной сети (часть 8)
  • Защита трафика беспроводной сети (часть 9)

Введение

В моей предыдущей статье я обсуждал важность SSID точки беспроводного доступа, а также говорил о фильтрации MAC-адресов. В этой статье я хочу продолжить обсуждение, показав вам еще некоторые функции безопасности, которые обычно встроены в беспроводные точки доступа. Как и я, имейте в виду, что не каждая точка доступа предлагает все функции, о которых я буду говорить.

Шифрование

Когда дело доходит до защиты беспроводных сетей, больше всего внимания привлекает функция безопасности — шифрование. В таком случае я хотел бы начать с предоставления вам базовой информации о некоторых наиболее распространенных вариантах шифрования. При этом имейте в виду, что сейчас я обсуждаю только механизмы шифрования, встроенные в беспроводное оборудование. Я буду говорить о функциях шифрования на уровне операционной системы позже в этой серии.

Нет шифрования

В начале этой серии я задал вопрос, что произойдет, если беспроводная сеть вообще не будет шифроваться. Это связано с тем, что по умолчанию для большинства точек доступа все соединения остаются незашифрованными.

Если вы собираетесь использовать функцию шифрования на уровне операционной системы, такую как IPSec, или если вы собираетесь использовать точку доступа в качестве общедоступной точки доступа Wi-Fi, то можно оставить шифрование отключенным. В противном случае я бы порекомендовал использовать один из вариантов шифрования, о которых я расскажу чуть позже.

WEP

Wired Equivalent Privacy (WEP) — алгоритм шифрования первого поколения для беспроводных сетей. Сегодня большинство точек беспроводного доступа по-прежнему предлагают шифрование WEP, но только в целях обратной совместимости. Шифрование WEP было взломано много лет назад и сегодня считается ненадежным.

WPA-PSK [ТКИП]

Защищенный доступ Wi-Fi (WPA) был разработан как механизм для преодоления недостатков шифрования WEP. Существует несколько разновидностей WPA, но, вероятно, наиболее распространенным является WPA-PSK. WPA-PSK просто означает, что шифрование основано на использовании предварительного общего ключа.

Некоторые реализации WPA используют протокол под названием TKIP, что означает протокол целостности временного ключа. TKIP генерирует 128-битный ключ для каждого пакета.

WPA2-PSK

WPA2-PSK — это версия WPA следующего поколения. Хотя WPA2 по-прежнему использует предварительно общие ключи, он отказывается от TKIP в пользу режима счетчика с протоколом кода аутентификации сообщений цепочки шифров (CCMP). CCMP был опционально доступен в некоторых реализациях WPA, но обязателен для использования в WPA2. CCMP основан на алгоритме Advanced Encryption Standard (AES), который использует десять циклов кодирования для создания 128-битного ключа. В настоящее время WPA2 является предпочтительным механизмом беспроводного шифрования.

Еще одна вещь, которую следует учитывать

Хотя шифрование является основным механизмом безопасности в любой беспроводной точке доступа, важно помнить, что само по себе шифрование не гарантирует безопасность вашей беспроводной сети. Всеобъемлющая безопасность может быть достигнута только путем применения глубокоэшелонированной защиты, а это означает, что вы должны использовать преимущества других механизмов безопасности, которые могут быть вам доступны. Я потрачу оставшуюся часть этой статьи на обсуждение нескольких дополнительных механизмов безопасности, которые можно найти в некоторых беспроводных точках доступа.

Журналы

Хотя обычно это функция, которую вы не можете настроить, многие точки беспроводного доступа имеют довольно широкие возможности ведения журналов. Например, точка доступа, которую я использую, имеет встроенный механизм ведения журнала, который создает запись в журнале при каждой попытке подключения. Что еще более важно, точка доступа сообщает вам, откуда было установлено соединение (проводная сеть, беспроводная сеть или Интернет), IP-адрес устройства, пытающегося установить соединение, и номер порта, через который была предпринята попытка соединения.

Журналы моей точки доступа также отслеживают любые попытки входа в административную консоль точки доступа. Эта функция позволяет легко обнаруживать любые попытки несанкционированного доступа.

Черные списки

Некоторые точки доступа включают различные типы черных списков. Например, многие точки беспроводного доступа предлагают черный список, который можно использовать для блокировки доступа к определенным веб-сайтам. Хотя эта функция, вероятно, была разработана для блокировки доступа к неприемлемому содержимому, вы можете использовать такой черный список для предотвращения случайного доступа к заведомо вредоносным веб-сайтам. На самом деле существует несколько веб-сайтов, которые предоставляют загружаемые списки вредоносных веб-сайтов, и вы можете использовать такой список в сочетании с функцией черного списка точки доступа, чтобы уменьшить вероятность того, что пользователь посетит такой сайт.

Конечно, не все черные списки имеют дело с URL-адресами. Некоторые точки беспроводного доступа также дают вам возможность заносить в черный список порты и службы. Например, если ваша корпоративная политика безопасности ограничивает использование программного обеспечения для обмена мгновенными сообщениями, вы можете использовать черный список точки доступа, чтобы заблокировать трафик обмена мгновенными сообщениями. Таким образом, даже если бы пользователь каким-то образом смог установить клиент обмена мгновенными сообщениями на свою рабочую станцию, этот клиент был бы неэффективен.

Если вы все же решите использовать черные списки для предотвращения прохождения определенных типов трафика по вашей сети, рекомендуется воспользоваться преимуществами как списков портов, так и списков служб, если они доступны.

Оповещения

Некоторые точки беспроводного доступа более высокого уровня содержат различные механизмы оповещения. При правильном использовании такие механизмы могут значительно повысить общую безопасность вашей беспроводной сети.

Основная идея предупреждений заключается в том, что как администратор вы можете определить определенные условия, о которых хотите знать. Эти условия могут быть любыми. Например, вы можете захотеть узнать, когда пользователь пытается посетить веб-сайт с ограниченным доступом, или вы можете захотеть узнать, когда кто-то пытается войти в административную консоль. Некоторые точки беспроводного доступа можно даже настроить так, чтобы они предупреждали администратора, если пользователь пытается подключиться к точке доступа в нерабочее время.

После того как вы определили условия, при которых будет генерироваться оповещение, необходимо настроить само оповещение. Параметры оповещения варьируются от одной беспроводной точки доступа к другой, но обычно вы можете настроить точку доступа для отправки вам сообщения электронной почты или текстового SMS-сообщения всякий раз, когда происходят определенные события.

Беспроводной сигнал

Последний аспект беспроводной безопасности, о котором я хочу упомянуть, касается сигнала, создаваемого беспроводной точкой доступа. Некоторые точки доступа позволяют регулировать уровень сигнала. Если ваши точки доступа предлагают такую функцию, рекомендуется уменьшить мощность сигнала, чтобы сигнал распространялся только на то расстояние, которое вам нужно. Подумайте об этом на мгновение. Действительно ли у ваших сотрудников есть законная деловая потребность входить в вашу беспроводную сеть с расстояния в три квартала? Конечно нет.

Несмотря на то, что в бизнесе, безусловно, требуются мощные беспроводные сети, вы должны предпринять шаги, чтобы ваш беспроводной сигнал не вышел за пределы физических границ вашей организации. Это затрудняет прослушивание вашей беспроводной сети посторонним на улице.

Вывод

До сих пор в этой серии я ограничивал свое обсуждение исключительно функциями безопасности, встроенными в беспроводное оборудование. Однако вы можете быть удивлены, узнав, что операционная система Windows также содержит ряд встроенных функций безопасности беспроводной сети. Я начну обсуждать эти функции в части 5.

  • Защита трафика беспроводной сети (часть 7)
  • Защита трафика беспроводной сети (часть 8)
  • Защита трафика беспроводной сети (часть 9)
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023