У даній статті розглядаються інструменти для шифрування, ідентифікації, управління і багато іншого…

Враховуючи справедливу критику до статті «Керівництво з безпеки бездротових мереж», було прийнято рішення написати на цю тему детальніше. Ось що з цього вийшло.

Наведіть мишу на Wi-Fi-значок в правому нижньому куті екрана. Відобразиться ім’я вашої бездротової мережі. 80 відсотків користувачів Wi-Fi-мереж при підключенні називають свою мережу «Default (Unsecured)» або «Home (Unsecured)».

Незахищені бездротові мережі є відкритим запрошенням для хакерів проникнути у ваш комп’ютер і вкрасти вашу особисту інформацію, завантажити шкідливі програми на ваш комп’ютер, або просто пожартувати над вами.

На щастя, забезпечити захист вашої Wi-Fi мережі досить просто. У цій статті розглядаються 10 простих кроків, які дозволять зробити вашу бездротову мережу безпечною.

1. Зміна пароля адміністратора і користувачів

У процесі першої налаштування Wi-Fi маршрутизатора необхідно зайти на сторінку налаштувань вбудованого веб-сервера і ввести мережеву адресу і идентификационую інформацію. Звичайно сторінка з налаштуваннями захищена необхідністю введення імені користувача і пароля.

Проблема: Попри те, що ім’я користувача і пароль тільки ви знаєте, існує така проблема. Логіни і паролі за замовчуванням, як правило, однакові в усьому модельному ряді маршрутизаторів певного виробника, а також більшість користувачів ніколи не змінюють їх. Відповідно, вони стають легкою мішенню для хакерів. Існують сайти, які публікують імена користувачів і паролі за замовчуванням для бездротових маршрутизаторів, що значно полегшує завдання хакера.

Рішення: змініть ім’я користувача і пароль для вашого Wi-Fi маршрутизатора відразу після першого входу. І якщо ви змінюєте пароль, переконайтеся, що його дуже важко вгадати. Ваше ім’я, дату народження, річницю весілля, ім’я дитини, ім’я чоловіка або домашньої тварини будуть першими при підборі пароля. Ще багато хакери використовують техніку підбору за словником (bruteforce), запустивши програму, яка намагається підібрати пароль зі звичайних слів. Необхідно переконатися, що ваш пароль не тільки не містить загальні слова, а, швидше, являє собою комбінацію літер і цифр, а також спецсимволов, якщо це дозволяє маршрутизатор.

2. Вибір надійного алгоритму криптування

Якщо інформація, що передається по вашій Wifi мережі не зашифрована належним чином, то зловмисник може легко підключитися до мережі і контролювати вашу діяльність. При введенні особистої та фінансової інформації він може вкрасти її і використовувати в подальшому.

Старий стандарт шифрування Wired Equivalent Privacy (WEP), може бути зламаний протягом 30 секунд незалежно від складності фрази, використовуваної для її захисту. На жаль, мільйони Wi-fi користувачів до цих пір користуються цією технологією шифрування, незважаючи на наявність набагато кращого стандарту шифрування WPA2.

Проблема: Незважаючи на наявність алгоритму шифрування WPA2, більшість домашніх Wi-fi користувачів не використовують цей алгоритм, оскільки вони або недооцінюють проблему або ж просто вважають, що це занадто складно. Як результат, багато хто продовжує використовувати шифрування WEP, яке зараз так легко зламати, воно розглядається так само, як ніби ніякого шифрування немає взагалі.

Рішення: Природно, необхідно змінити алгоритм шифрування WPA2. Але перш, ніж ви можете використовувати WPA2 захист, вам доведеться виконати кілька кроків, щоб оновити ЗА комп’ютера. Перший крок полягає в тому, щоб завантажити та встановити виправлення для операційної системи. Ймовірно, буде потрібно оновити драйвер бездротової карти. У разі використання Microsoft Windows XP ці оновлення, якщо вони ще не встановлені, будуть перераховані на сторінці Microsoft Windows Update під підзаголовком «Hardware Optional».

Тепер, коли ваш комп’ютер і бездротові карти знаходяться в актуальному стані, вам потрібно увійти в адмінку вашого маршрутизатора. Після того, як ви увійшли в систему, необхідно змінити настройки безпеки «WPA2 Personal» і вибрати алгоритм «TKIP + AES». Потім, введіть свій пароль в полі «Shared Key» і збережіть зміни.

3. Зміна ID мережі.

Коли ви встановлюєте маршрутизатор, ID мережі — SSID (Service Set Identifier) або ESSID (Extended Service Set Identifier) встановлений в значення за замовчуванням. Цей ідентифікатор зазвичай також використовується як ім’я вашої Wi-fi мережі.

Проблема: Як правило, виробники присвоюють однакові SSID для цілого модельного ряду пристроїв, а 80 відсотків домашніх користувачів Wi-fi мереж залишають ці значення за замовчуванням. Це означає, що 80 відсотків будинкових Wi-fi систем працюють під назвою «Default»,»D-link» або подібну.

Проблема з налаштуваннями за замовчуванням полягає в тому, що вони служать сигналом для хакерів. Хоча знання SSID не дозволяє нікому проникнути в мережі, воно, як правило, свідчить про те, що власник мережі не вжив жодних заходів, щоб захистити її. Такі мережі є найбільш уразливими.

Рішення: змінити SSID відразу при налаштування локальної мережі. Це не може повністю забезпечити захист вашої мережі, але зміна SSID на щось нестандартне відокремить вашу мережу від інших незахищених мереж, що може стати одним із факторів при виборі (швидше, відмови від вибору вашої мережі для атаки. Крім того, використання персонального унікального імені дозволить уникнути помилок підключення з сусідніми мережами з таким же стандартним ім’ям.

4. Фільтрація MAC-адрес

Якщо ви встановили незахищену мережа Wi-fi, то з великою часткою ймовірності можна бути впевненим, що, принаймні, один з ваших сусідів буде використовувати вашу мережу для підключення до мережі Інтернет.
Для перевірки використання вашої мережі можна використовувати MAC-адресу. Кожного мережного пристрою, і Wi-Fi в тому числі, присвоюється унікальний код, який ідентифікує його, це «фізична адреса» або «MAC-адреса». Ваш Wi-Fi роутер автоматично фіксує MAC-адреси всіх пристроїв, які підключаються до нього. Знання власного MAC-адреси допоможе вам захистити свою бездротову мережу.

Проблема: Якщо Ви не впевнені в тому, що хтось отримав доступ до вашої Wi-Fi мережі, або ви дізналися, що хтось проник в мережу, ви хочете припинити це. Але яким чином?

Рішення: Перевірка MAC-адрес пристроїв, підключених до вашої Wi-Fi мережі, дасть вам уявлення про те, хто підключений до мережі. Якщо ви впевнені, що пристрій з певним MAC-адресою у мережі без дозволу, то внесіть цю адресу у чорний список. Крім того, даний метод можна використовувати як потужний засіб по обмеженню доступу в мережу, дозволивши доступ до мережі тільки з певних MAC-адрес. Природно, це не гарантує вам 100% захист мережі, оскільки існує сучасне ПЗ, що дозволяє змінювати MAC-адресу мережного пристрою.

5. Відключення широкомовного оповіщення(broadcasting)

Ви перейменували ваш Wi-Fi мережу, щоб хакери не використовували ім’я за промовчанням для початку атаки на мережу. Але чи не буде краще, якщо ніхто не буде знати, що у вас з’явилася Wi-Fi мережу? Як правило, ваша точка доступу або маршрутизатор запрограмовані на трансляцію в ефір ім’я (SSID) через регулярні проміжки часу. Хоча широкомовне оповіщення має важливе значення для мобільних «гарячих точок», воно не потрібно в домашніх умовах або умовах малого офісу.

Проблема: Навіщо оповіщати всіх, що у вас є бездротовий зв’язок? Ви вже знаєте про це, навіщо потрібно знати іншим? Широкомовне сповіщення в ефірі працює як запрошення для хакерів або сусідів (які сподіваються на безкоштовний Інтернет) шукають можливість проникнути в мережу.

Рішення: Більшість Wi-Fi точок доступу дозволяють відключити трансляцію SSID. Зайдіть в налаштування маршрутизатора.

6. Вимкніть автоматичне підключення до Wi-fi мереж

Більшість комп’ютерів можуть автоматично підключатися до будь-якої відкритої Wi-Fi мережі без попередження. Якщо цей параметр увімкнено за замовчуванням, багато людей вибирають його, оскільки він дозволяє швидше підключитися до мережі. Ще більш поширений варіант – користувачі вибирають опцію «автоматично підключатися»для мереж, до яких вони регулярно підключаються. Знову ж таки, це має сенс, так як більшість людей не хочуть вручну вводити назву своєї бездротової мережі і пароль кожного разу, коли вони хочуть в неї увійти. На жаль, такі варіанти можуть призвести до значних проблем у галузі безпеки.

Проблема: Якщо ви будете підключатися до будь-яким доступним Wi-Fi мереж автоматично, ви неминуче будете також підключатися до WI-FI мереж, призначеним спеціально для того, щоб перехопити дані користувачів і зламати їх комп’ютери.

Аналогічним чином, якщо ви автоматично підключаєтеся до ваших Wi-Fi мереж (тобто ви не вводите ім’я мережі і пароль кожного разу), то це також загрожує вашої безпеки. Оскільки 80 відсотків користувачів Wi-Fi не змінюють назву свого бездротового з’єднання, то не складе ніяких труднощів зробити підроблену мережу з назвою за замовчуванням. Таким чином, хакеру не потрібно буде нічого робити, крім як чекати, поки до мережі не з’єднається користувач і добровільно не надасть свої дані.

Рішення: Не выбира йте варіант «підключитися до наявної Wi-Fi мережі автоматично» в налаштуваннях вашого мережевого підключення. Якщо ви не хочете вручну вводити ім’я і пароль для Wi-Fi з’єднання кожен раз, коли ви входите в мережу(найбільш безпечний варіант), принаймні, переконайтеся, що ви назвали ваше Wi-Fi з’єднання унікально, і що ви видалили всі стандартні назви зі списку бажаних мереж. Таким чином, ви не отримаєте автоматичне підключення до фальшивим Wi-Fi мереж, налаштованими хакерами і використовують імена «за замовчуванням».

7. Використовуйте вбудований брандмауер

Для правильної організації системи IT безпеки необхідно використання багаторівневого підходу. Одного шару вашої системи безпеки недостатньо, щоб витримувати кожну атаку. Додаючи шари у вашу систему безпеки, ви обмежуєте доступ в вашу мережу шкідливого коду. Два важливих шару системи безпеки – це брандмауер маршрутизатора і брандмауер вашого ПК.

Проблема: маршрутизатори мають вбудований брандмауер. Однак, оскільки є можливість відключити їх, вони можуть бути випадково або невипадково вимкнені.

Рішення: Переконайтеся, що брандмауер вашого маршрутизатора включений і успішно блокує анонімні інтернет-запити чи команди. Цей додатковий крок допоможе приховати присутність вашої мережі в мережі Інтернет, і, таким чином, допоможе захистити вашу мережу. Зрештою, хакерам важче зламати те, що не видно.

8. Розташування маршрутизатора або точки доступу

Wi-fi сигнали не знають, де закінчується ваш будинок, і коли починається будинок сусіда. Витік сигналу Wi-Fi точки доступу дає хакерам і сусідам можливість знайти вашу бездротову мережу.

Проблема: Якщо на відкритому просторі дальність поширення сигналу не є великою проблемою, то всередині приміщення потрібно перейматися проблемою правильного покриття. Необхідно звести до мінімуму вихід сигналу за межі потрібного приміщення. Це важливо, тому що чим далі ваш сигнал доступний в окрузі, тим простіше його виявити і використовувати.

Рішення: Якщо ви ще не встановили бездротовий маршрутизатор(точку доступу), то виберіть розташування маршрутизатор або точка доступу в центрі будинку або офісу, а не біля вікна або двері. Якщо ви живете в квартирі, подумайте про те, що проникнення Wi-Fi мережі залежить від властивостей матеріалів, крізь які вона повинна пройти. Чим більше стін, дверей, а також металевих перекриттів, тим сигнал гірше проходить, тобто він стає слабкішим. Якщо ваша мета полягає в тому, щоб мінімізувати витік, можна розглянути варіант захисту приміщення.

9. Коли необхідно відключити мережу

Більшість з нас знають, що непрактично постійно включати і відключати пристрої. Наявність постійного Wi-Fi з’єднання досить зручно, ніж постійне його включення і виключення. На жаль, Wi-Fi з’єднання вразливе, коли воно включено, тому вимкнувши бездротовий сигнал, коли він не використовується, ви тим самим зробите ще один крок до забезпечення безпеки вашої бездротової мережі.

Проблема: Існує проблема вибору між зручністю і безпекою при вирішенні питання, чи вимикати бездротову точку доступу у відсутності сполук.

Рішення: Як ви робите додаткові заходи безпеки вдома, наприклад, їдучи на відпочинок, просіть ваших сусідів забирати пошту і включати світло, так само ви повинні приймати додаткові заходи безпеки, коли ваша Wi-Fi мережу не буде використовуватися. Вимикання мережі є одним з ефективних заходів безпеки, які можуть захистити вашу мережу. Немає мережі – немає проблеми 

10.Тестування мережі

Тепер, коли ви внесли всі перераховані зміни в налаштування вашої Wi-Fi мережі, бажано було б переконатися, що ваша мережа в безпеці. На жаль, єдиний вірний спосіб полягає в тому, щоб почекати і подивитися, чи будуть спроби злому. Існують програми, які допоможуть вам провести аудит безпеки вашої мережі.

Проблема: На жаль, не існує способу перевірити безпеку вашої бездротової мережі, який дасть вам 100% відповідь про надійність вжитих заходів безпеки.

Рішення: Існують утиліти, наприклад, Netstumbler, які вміють визначати уразливості мережі і виявляти недозволені суміщені точки доступу. В додаток до цього програма може виявити джерела мережевих перешкод і слабкого сигналу. Netstumbler є безкоштовною програмою. Природно, існують і інші програми-сканери мереж з подібним функціоналом.

Замість висновку
Ця стаття повинна служити базовим прикладом того, як потрібно захистити бездротову мережу від широкого спектру загроз, які стоять перед нею, але важливо пам’ятати, що ні одна стаття може охопити абсолютно всі заходи безпеки, які можуть бути використані для посилення безпеки ваших Wi-Fi мереж. Таким чином, тут не розглянуто цілий перелік інших дієвих заходів безпеки, таких як: обмеження спільного використання файлів, зміна IP-адреси бездротового маршрутизатора, використання статичної IP-адреси для кожного з ваших комп’ютерів, відключення DHCP сервера, DMZ і віддаленого управління функціями, а також цілий ряд заходів, таких як установка на комп’ютері брандмауер, антивірусне програмне забезпечення, установка оновлень і так далі.

Незважаючи на це, при використанні описаних 10 кроків, звичайний користувач може бути впевнений, що ваша Wi-Fi мережа буде працювати без шкоди для ваших ПК.

За мотивами