Безопасность беспроводных сетей (Wi-Fi): четыре популярных мифа и одиннадцать советов

Любая беспроводная сеть, разумеется, менее безопасна, чем обычная проводная. Тем не менее, вы можете повысить безопасность вашей беспроводной сети до приемлемого уровня.

Существует множество мифов о безопасности беспроводных сетей. В первую очередь я постараюсь развеять (надеюсь, убедительно) четыре самых популярных из них. Также я дам одиннадцать советов относительно эффективного повышения безопасности вашей беспроводной сети.

Четыре мифа о защите беспроводных сетей. Разумеется, они не имеют никакого отношения к действительности

Миф 1: следует отключить трансляцию SSID (скрыть имя сети)

Сокрытие имени сети или SSID не является действенной мерой, так как… на самом деле опасно не передавать SSID! Это звучит абсурдно, но я постараюсь дать некоторые пояснения по этому поводу.

Начнем с того, что технически невозможно полностью прекратить передачу SSID. На самом деле, маршрутизатор раскрывает имя «скрытой» сети в четырех(!) ситуациях.

Вместе с множеством отправляемых маршрутизатором пакетов данных отправляется и SSID. При этом SSID никоим образом не шифруется. Благодаря этому соответствующие пакеты данных с SSID могут быть перехвачены и разобраны любым человеком, который находится недалеко от маршрутизатора. Исходя из вышесказанного, SSID транслируется даже в том случае, если вы «скрыли» имя сети в панели управления своего маршрутизатора!

Злоумышленнику потребуется всего лишь несколько секунд для получения «скрытого» SSID с помощью одного из сканеров беспроводных сетей, такого, как Kismet или Aircrack NG.

Сокрытие SSID ведет к дополнительному риску(!): если вы отключите трансляцию SSID на уровне маршрутизатора, соединенные с ним компьютеры будут вынуждены постоянно раскрывать свое присутствие. Таким образом, они будут распространять SSID везде, где находятся. Если вы возьмете с собой свой ноутбук, он также начнет сканировать сети (через короткие интервалы времени), задавая вопрос: «нет ли поблизости сети с именем XYZ?»

Это сделает ваши ноутбуки простой целью для злоумышленников. Злоумышленник может создать точку доступа с именем, совпадающим с именем вашей сети, после чего ваш ноутбук без всяких вопросов автоматически соединится с ней. В результате злоумышленник получит возможность прослушивания всего вашего сетевого трафика и, возможно, сможет получить доступ даже к содержимому жесткого диска вашего ноутбука.

Миф 2: следует использовать фильтрацию MAC-адресов

Фильтр MAC-адресов является попросту бесполезным из-за того, что злоумышленник может проследить за тем, какие MAC-адреса имеют клиенты, подключающиеся к маршрутизатору. После этого он может просто изменить MAC-адрес своей беспроводной карты (осуществить спуфинг) для получения доступа к сети.

Используя фильтр MAC-адресов, вы всего лишь усложняете себе жизнь. Вы наверняка столкнетесь с трудностями, если, к примеру, вам понадобится получить доступ к сети Интернет с другого (нового?) компьютера. Или в том случае, если к вам пришел гость с ноутбуком, которому вы желаете предоставить возможность подключения к сети Интернет.

Миф 3: следует деактивировать поддержку протокола DHCP

Деактивация поддержки протокола DHCP является простой тратой времени. Она остановит злоумышленника максимум на 10 секунд.

Протокол DHCP используется для автоматического распределения IP-адресов между устройствами. Отключение поддержки данного протокола на уровне маршрутизатора всего лишь усложнит настройку сети. Злоумышленник же практически сразу выяснит схему IP-адресов вашей сети и использует корректный IP-адрес для подключения.

Миф 4: следует использовать алгоритм обеспечения безопасности сети WEP

Алгоритм обеспечения безопасности сети WEP является очень слабой защитой, которая может быть взломана злоумышленником за считанные минуты. К тому же, он лишь привлечет начинающих взломщиков. Поэтому вместо него лучше вообще не использовать алгоритмов обеспечения безопасности сети, если данный вариант является приемлемым для вас…

Одиннадцать советов относительно повышения безопасности беспроводных сетей. Им можно доверять!

Для выполнения некоторых из описанных ниже манипуляций вам придется изменять параметры конфигурации вашего маршрутизатора. Вы можете получить доступ к веб-интерфейсу маршрутизатора, введя определенный адрес в адресную строку веб-браузера. Во многих маршрутизаторах используется адрес 192.168.0.1, 192.168.1.1 или 192.168.0.253, но в случае вашего маршрутизатора он, разумеется, может отличаться. Обратитесь к руководству пользователя вашего маршрутизатора для уточнения данного адреса.

Совет 1: изменяйте параметры конфигурации маршрутизатора только посредством проводного подключения

При изменении параметров конфигурации вашего маршрутизатора следует всегда использовать (временное) проводное подключение (которое организуется с помощью кабеля Ethernet). Беспроводное подключение является ненадежным для выполнения подобных манипуляций.

С помощью веб-интерфейсов некоторых маршрутизаторов вы можете даже запретить доступ к параметрам конфигурации в том случае, если не используется проводной интерфейс. Таким образом, изменить параметры конфигурации маршрутизатора по беспроводному интерфейсу будет попросту невозможно. К сожалению, не каждый маршрутизатор позволяет вводить подобные ограничения. Но в том случае, если ваш маршрутизатор позволяет их ввести, рекомендуется воспользоваться соответствующей функцией.

Совет 2: обновите прошивку вашего маршрутизатора

Посетите веб-сайт производителя вашего маршрутизатора для того, чтобы узнать, не выпущено ли обновлений для его прошивки. При наличии обновления обязательно обновите прошивку маршрутизатора. Обновления прошивок чаще всего содержат исправления проблем с безопасностью, а также исправления ошибок, допущенных в предыдущих версиях прошивок.

Совет 3. активируйте трансляцию SSID (не скрывайте имя сети)

SSID (имя беспроводной сети) должно всегда транслироваться. Оно не должно скрываться ни при каких обстоятельствах. Дополнительные пояснения даны выше (обратитесь к разделу «Миф 1: следует отключить трансляцию SSID (скрыть имя сети)»).

Совет 4. измените установленное по умолчанию имя сети

Измените установленное по умолчанию значение SSID (имя сети) на любое нравящееся вам имя, на основании которого невозможно сделать вывод о производителе маршрутизатора, его модели и типе. Также это важно сделать потому, что имя сети используется в процессе шифрования трафика, следовательно использование стандартного имени сети может сократить время подбора пароля.

Примечание: имя не должно содержать пробелов или специальных символов! Следовательно, вместо имени сети «Jonn's network» следует использовать «JohnsNetwork».

Примечание: хотя опытный злоумышленник все так же сможет получить информацию о произвадителе маршрутизатора, выяснив его MAC-адрес, эта важная информация не будет лежать на поверхности.

Совет 5: используйте алгоритм обеспечения безопасности сети WPA2 или WPA

Для обеспечения безопасности вашей сети должен использоваться по крайней мере алгоритм WPA Personal. Алгоритм WPA 2 Personal подойдет еще лучше, но он должен поддерживаться как маршрутизатором, так и всеми беспроводными сетевыми картами. Любой современный маршрутизатор позволяет использовать алгоритм обеспечения безопасности сети WPA. Ваш маршрутизатор настолько стар, что не поддерживает WPA? Тогда следует как можно быстрее купить новый, либо сделать сеть открытой, если вас устраивает такой вариант…

Совет 6: используйте исключительно алгоритм шифрования данных AES

Алгоритм AES является наиболее новым и безопасным алгоритмом шифрования данных, совместимым с алгоритмом обеспечения безопасности сети WPA. Исходя из этого, в качестве алгоритма шифрования данных следует выбирать вариант «Только AES». Соответственно, более старый и менее безопасный алгоритм шифрования данных TKIP не должен использоваться без острой необходимости. Также не стоит выбирать вариант «TKIP AES», так как в этом случае алгоритм шифрования будет обратно совместим с TKIP.

Если говорить кратко: при выборе алгоритма шифрования данных «Только AES» является лучшим вариантом, но вариант «TKIP» тоже не плох. Алгоритм обеспечения безопасности сети WPA в комбинации с алгоритмом шифрования данных TKIP все еще является достаточно безопасным решением.

Совет 7: придумайте свой собственный ключ WPA

Придумайте свой собственный ключ WPA в качестве замены стандартного ключа WPA от производителя маршрутизатора. Ваш ключ должен содержать как минимум 10 символов, среди которых должны быть буквы в верхнем регистре, цифры и специальные символы.

Примечание: не используйте символ пробела!

Совет 8: активируйте межсетевой экран на уровне вашего маршрутизатора

Обязательно активируйте межсетевой экран на уровне маршрутизатора. Большинство маршрутизаторов предоставляет возможность активации встроенного межсетевого экрана с помощью соответствующих параметров конфигурации из веб-интерфейса. Воспользуйтесь этой возможностью.

Имейте ввиду, что активация межсетевого экрана на уровне маршрутизатора может негативно повлиять на определенные онлайн-игры: вам придется вручную открыть определенные порты для их корректной работы.

Совет 9: измените пароль для входа в веб-интерфейс маршрутизатора

Для предотвращения несанкционированного изменения параметров сети следует изменить пароль администратора для входа в веб-интерфейс вашего маршрутизатора. Обычно вам приходится вводить этот пароль при необходимости изменения параметров конфигурации маршрутизатора для входа в его веб-интерфейс (чаще всего используется пароль «admin» или аналогичный). Измените этот пароль на пароль, придуманный вами. Не используйте символы пробела в пароле!

Совет 10. проявляйте особую осторожность при работе в чужих незащищенных сетях

Следует проявлять особую осторожность при использовании незащищенных или общественных сетей третьих лиц (в отелях, кэмпингах, аэропортах). Любой человек, находящийся в зоне покрытия незащищенной точки доступа может осуществлять либо мониторинг вашего сетевого трафика, либо атаку на ваш ноутбук.

Решением обоих проблем является работа в сети с учетом того, что ней уже могут орудовать злоумышленники, которые могут в любой момент получить полный доступ к вашему сетевому трафику и атаковать ноутбук. Через сеть следует передавать лишь зашифрованные данные: всегда используйте протокол https (там, где это возможно). Также установите все обновления для вашего дистрибутива. Не забудьте активировать межсетевой экран (в Linux Mint, Ubuntu и elementaryOS это делается с помощью команды в терминале: sudo ufw enable) и проверяйте SSL-сертификаты веб-сайтов.

Совет 11. отключите поддержку технологий Wi-Fi Protected Setup (WPS) и Universal Plug and Play (UPnP) на уровне вашего маршрутизатора

Большинство современных маршрутизаторов имеет поддержку технологии Wi-Fi Protected Setup (WPS). Причем она обычно активируется по умолчанию. Разработка данной технологии была продиктована необходимостью в предоставлении неискушенным в вопросах безопасности беспроводных сетей пользователям возможности связывать устройства в рамках беспроводной сети без необходимости ввода длинных ключей.

Однако, как можно было догадаться, технология WPS связана с огромным риском в плане безопасности сети. Благодаря простой атаке перебора PIN-кодов, удаленный злоумышленник может менее чем за один час выяснить PIN-код WPS, с помощью которого впоследствии не составит труда получить ключ WPA/WPA2 для доступа к беспроводной сети.

Единственным решением данной проблемы является полное отключение WPS на уровне маршрутизатора. Некоторые маршрутизаторы не имеют параметра конфигурации, позволяющего отключить WPS; в этом случае придется либо установить на свой маршрутизатор прошивку OpenWRT/LEDE, либо приобрести новый маршрутизатор, если установка прошивки OpenWRT/LEDE на него невозможна. Также не стоит забывать об обновлениях прошивок для маршрутизаторов: возможно в новой версии прошивки для вашего маршрутизатора появился нужный параметр конфигурации и вы можете сэкономить деньги?

Технология WPS была активирована в вашем маршрутизаторе? В этом случае следует изменить пароль WPA/WPA2 сразу же после отключения WPS. Ведь в ваша сеть может быть уже взломана…

Технология Universal Plug and Play (UPnP) также тесно связана с проблемами безопасности сетей и может выступить в роли вектора атаки на вашу беспроводную сеть. Вы также можете отключть ее поддержку в веб-интерфейсе маршрутизатора. Впрочем, риски, связанные с использованием технологии UPnP не идут ни в какое сравнение с рисками, связанными с использованием технологии WPS, поэтому не стоит особо беспокоиться в том случае, если вам не удастся отключить поддержку UPnP.

Примечание: хотя производители маршрутизаторов и научились бороться с атаками, заключающимися в обычном переборе PIN-кодов WPS, в последнее время вместо них используются атаки, задействующие алгоритмы вычисления стандартных PIN-кодов WPS маршрутизаторов по их MAC-адресам, а также недоработки генераторов случайных чисел маршрутизаторов, которые позволяют практически мгновенно подбирать PIN-коды WPS. По этой причине стоит относиться к данному совету с особой серьезностью.

Хотите ознакомиться с дополнительными советами?

Хотите узнать о других настройках и приемах работы с беспроводными сетями? На данном веб-сайте размещено большое количество подобных материалов. Например, вы можете обратиться к следующим материалам: