ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Безопасности беспроводных сетей стоит уделять особое внимание. Wi-Fi - это беспроводная сеть и притом с большим радиусом действия. Поэтому злоумышленник может перехватывать информацию или же атаковать вашу систему, находясь на безопасном расстоянии. В настоящее время существуют уже множество различных способов защиты, и при условии правильной настройки можно быть уверенным в обеспечении необходимого уровня безопасности.

Протокол шифрования WEP: Протокол шифрования, использующий довольно нестойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное шифрование. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно более высокая стойкость сети к взлому. Часть WEP-ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бита) – динамической (вектор инициализации), она меняется в процессе работы сети. Основной уязвимостью протокола WEP является то, что векторы инициализации повторяются через некоторый промежуток времени, и взломщику потребуется лишь обработать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к WEP-шифрованию использовать стандарт 802.1x или VPN.

Протокол шифрования WPA: Более стойкий протокол шифрования, чем WEP , хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.
TKIP (Temporal Key Integrity Protocol) - протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.
MIC (Message Integrity Check) - протокол проверки целостности пакетов. Защищает от перехвата пакетов и их перенаправления.



Также возможно использование 802.1x и VPN, как и в случае с протоколом WEP. Существует два вида WPA:
WPA-PSK (Pre-Shared Key) - для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.
WPA-802.1x - вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

Протокол WPA2 - усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

Стандарт безопасности 802.1X, в который входят несколько протоколов:
EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS - сервером в крупных сетях.
TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.
RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.


VPN (Virtual Private Network) – Виртуальная частная сеть. Этот протокол изначально был создан для безопасного подключения клиентов к сети через общедоступные Интернет-каналы. Принцип работы VPN – создание так называемы безопасных «туннелей» от пользователя до узла доступа или сервера. Хотя VPN изначально был создан не для Wi-Fi, его можно использовать в любом типе сетей. Для шифрования трафика в VPN чаще всего используется протокол IPSec. Случаев взлома VPN на данный момент неизвестно. Мы рекомендуем использовать эту технологию для корпоративных сетей.


Дополнительные меры защиты:

Фильтрация по МАС адресу: MAC адрес – это уникальный идентификатор устройства (сетевого адаптера), «зашитый» в него производителем. На некотором оборудовании возможно задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – MAC адрес можно подменить.
Скрытие SSID: SSID – это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом при сканировании вашей сети видно не будет. Но опять же, это не слишком серьезная преграда если взломщик использует более продвинутый сканер сетей, чем стандартная утилита в Windows.
Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть: Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-Fi сеть, однако это не защитит вас от перехвата трафика или от проникновения в вашу сеть.


Несмотря на самые современные технологии, всегда следует помнить о том, что качественная передача данных и надежный уровень безопасности обеспечиваются только правильной настройкой оборудования и программного обеспечения, выполненными опытными профессионалами.

Взято inetproblem.ru