Wi-Fi — Беспроводная безопасность

Проблема с безопасностью беспроводных сетей в основном связана с тем, что их сигнал распространяется за пределы защищенной зоны, независимо от стен зданий, о чем многие пользователи не знают. Еще одна проблема заключается в том, что более ранние беспроводные устройства продавались без настроек безопасности, поэтому после покупки они работают сразу после подключения .

Незваный гость может легко подключиться к очень удаленной беспроводной сети только с помощью направленной антенны, даже если у другой стороны нет мощной антенны. Можно обойти старые системы безопасности беспроводной сети (например, WEP ).

Безопасность беспроводных сетей можно разделить на две основные группы:

• шифрование = защита передаваемых данных от перехвата
• авторизация = контроль доступа авторизованных пользователей

Блокировать трансляцию SSID

Блокировка широковещательной рассылки SSID нарушает стандарт, но это самый простой способ защитить вашу беспроводную сеть, по-видимому, скрывая ее. Клиенты не отображают сеть в списке доступных беспроводных сетей, потому что они не получают широковещательные сообщения с SSID.

Однако, когда клиент подключается к точке монтирования, SSID передается в открытом виде и может быть легко зафиксирован. При захвате SSID, когда клиент связывается с точкой доступа, также используется провокация, при которой злоумышленник отправляет в беспроводную сеть кадры, которые заставляют клиентов повторно связываться.

Проверка MAC-адреса

Точка беспроводного доступа имеет список MAC-адресов клиентов, которым разрешено подключение (так называемый белый список). Также есть возможность установить блокировку определенных MAC-адресов (черный список). Злоумышленник может выдать себя за станцию, которая уже подключена к беспроводной сети, установив тот же MAC-адрес (если эта функция включена на точке доступа).

802.1X

Точка доступа требует протокола аутентификации IEEE 802.1X . Для аутентификации на стороне клиента используется программа, называемая запрашивающей ( поддерживающей ), для которой точка доступа является посредником при обмене данными с третьей стороной, выполняющей аутентификацию (например, сервером RADIUS ). С помощью 802.1X уязвимости системы безопасности можно устранить с помощью ключей WEP .

WEP

Шифруйте обмен данными с помощью статических ключей WEP (Wired Equivalent Privacy), симметричных шифров , которые устанавливаются вручную на обеих сторонах беспроводного соединения. Из-за недостатков протокола ключ можно относительно легко получить, захватив определенные кадры и проанализировав их (с помощью программы Aircrack-ng ).

Аутентификация доступа к сети WPA выполняется с использованием PSK ( Pre-shared key — обе стороны используют одну и ту же длинную парольную фразу ), сервера RADIUS (аутентификация по логину и паролю) или других вариантов протокола EAP .

WPA

Для обратной совместимости WPA (Wi-Fi Protected Access) использует ключи WEP, которые часто меняются динамически безопасным способом (протоколы TKIP, CCMP). Специальная сопутствующая программа, называемая просителем , используется для постоянной смены ключей . По этой причине можно было добавить WPA на старое оборудование, и производителям не нужно было запускать совершенно новые устройства. Ключ PSK может быть определен только методом словаря (т.е. Путем проверки различных паролей на основе перехваченного варианта успешной аутентификации).

WPA2

Более новый WPA2 обеспечивает лучшее шифрование (шифр AES), которое, однако, требует большей вычислительной мощности, и поэтому WPA2 не может использоваться на старых устройствах.

WPS

Для упрощения подключения к беспроводной сети возможно подключение с помощью WPS . Устройство может иметь кнопку WPS, при нажатии на которую можно подключиться к беспроводной сети без аутентификации в течение ограниченного времени. Вместо кнопки можно ввести восьмизначный PIN-код (оба метода можно комбинировать).

Однако числовой код можно угадать за относительно короткое время, пробуя разные варианты. Поэтому у новых устройств есть ограничение на количество попыток подключения, или WPS можно полностью отключить.

Шифрование

Современные методы безопасного подключения к беспроводной сети обеспечивают шифрование всех передаваемых данных. Если кто-то подслушивает, у него нет возможности узнать некоторые подробности о сети или соответствующем сетевом трафике (например, путем анализа MAC-адресов , IP-адресов , DNS-запросов , ARP , незашифрованных заголовков HTTPS и т. Д.).

Однако подключение к незашифрованной беспроводной сети не является прямой угрозой для сети или пользователя, так как важный сетевой трафик в настоящее время шифруется сам по себе (например, передача веб-контента с использованием HTTPS, SSH ) или проверяется целостность передаваемых данных ( DNSSEC , электронная подпись и т.д.).

VPN

Используя HotVPN — https://www.hotvpn.ru/ , беспроводных клиентов можно классифицировать в соответствии с доверием, что позволяет им получать или отключать доступ к определенным частям внутренней локальной сети.

Радиочастотное экранирование

С помощью специальной краски на стенах и оконных пленках беспроводной сигнал может быть ослаблен, что затрудняет несанкционированное подключение к беспроводной сети.