Фильтрация по MAC-адресам

Фильтрация по MAC-адресам используется для того, чтобы доступ к сети могли получить (или, наоборот, не получить) только те компьютеры, чьи адреса указаны в списке. Фильтрация защитит вашу сеть от новичков, но более опытные хакеры могут легко перехватить MAC-адреса и подменить свой адрес на один из разрешённых.

 

 

Рис. 3. Фильтрация MAC-адресов на точке доступа USR 8011.

Снижение мощности передачи

Лишь некоторые потребительские точки доступа имеют эту функцию, однако снижение мощности передачи позволит ограничить количество как преднамеренных, так и случайных неавторизованных подключений. Впрочем,    чувствительность    доступных     массовому    пользователю беспроводных адаптеров постоянно растёт, так что вряд ли стоит озадачиваться этим способом, особенно если вы это делаете исключительно из-за безопасности в многоквартирном доме. Опытные хакеры обычно используют мощные направленные антенны, что позволяет им обнаруживать даже очень слабый сигнал и сводит существенность этого пункта к нулю.

Умения первого уровня: пользователь с общедоступным набором утилит для взлома WLAN

 

Перейдём к более опытным пользователям, которые специально бродят по окрестностям в поисках беспроводных сетей. Некоторые занимаются этим просто из интереса, пытаясь обнаружить, сколько сетей находится рядом. Они никогда не пытаются использовать уязвимые сети. Но есть и менее доброжелательные хакеры, которые подключаются и используют сети, а иногда даже доставляют владельцам неудобства. Все принятые меры нулевого уровня не спасут от взломщиков первого уровня, и незваный гость может проникнуть в сеть. От него можно защититься, используя шифрование и аутентификацию. С аутентификацией будем разбираться немного позже, пока же остановимся на шифровании. Одно из возможных решений - пропускать весь беспроводной трафик через туннель VPN (Virtual Private Network) - виртуальная частная сеть.

Шифрование

Владельцам беспроводных сетей следует использовать самый надёжный из доступных методов шифрования. Конечно, здесь всё зависит от оборудования, но, так или иначе, обычно можно выбрать WБР, WPA или WPА2. WEP (Wired Equivalent Privacy) - безопасность, эквивалентная проводной сети является наиболее слабым протоколом, но на текущее время он наиболее широко распространён и поддерживается практически всем оборудованием 802.11. Возможно, придётся остановиться на использовании этой технологии и потому, что не все производители беспроводного оборудования выпустили обновления прошивки с поддержкой WPA для оборудования 802.11 Ь. Некоторые до сих пор выпускают оборудование, которое поддерживает только WEP, например - беспроводные VoIP-­телефоны. Таким образом, приходится искусственно снижать безопасность сети из-за того, что не всё оборудование поддерживает более новые технологии.

 

Как WPA (Wi-Fi Protected Access), так и WPA2 обеспечивают хорошую защиту беспроводной сети, что достигается благодаря более стойкому алгоритму шифрования и улучшенному алгоритму управления ключами. Основное отличие между ними состоит в том, что WPА2 поддерживает более стойкое шифрование AES (Advanced Encryption Standard). Однако, ряд продуктов, поддерживающих WPA, тоже позволяют использовать алгоритм шифрования AES вместо стандартного TKIP.

 

Большинство продуктов 802.11 g поддерживают WPA, но есть и исключения. Что касается обновления старых продуктов до WPА2, то многие прошивки до сих пор находятся в состоянии разработки, несмотря на то, что стандарт 802.11i, на котором основан WPА2, был утверждён ещё в июне 2004.

 

Мы рекомендуем, по меньшей мере, использовать WPA. Его эффективность сопоставима с WPА2, и, как мы уже писали, стандарт поддерживается большим количеством оборудования. Конечно, внедрение WPA может потребовать покупки нового оборудования, особенно, если вы используете 802.11b. Однако оборудование 11g стоит сегодня относительно недорого и сможет оправдать себя.

 

Большинство потребительских точек доступа WPA и WPА2  поддерживают только режим с общим паролем WPA-PSK (Pre-Shared Кеу) (Рис. 4). WPA2 или WPA "Enterprise" (он же WPA "RADIUS") также поддерживается в некотором оборудовании, однако его использование требует наличия сервера RADIUS

 

Рис. 4. Шифрование трафика на точке доступа Netgear.

Для большинства частных беспроводных сетей использование WPA-PSK обеспечит вполне достаточную защиту, но только при выборе относительно длинного и сложного пароля. Не следует использовать только цифры или слова из словаря, поскольку такие программы, как cowpatty, позволяют проводить словарные атаки против WPA-РSK.

Роберт Москович (Robert Moskowitz), старший технический директор ICSA Labs, в своей статье рекомендовал использовать 128-битное шифрование PSK. К счастью, все реализации WPA позволяют использовать цифробуквенные пароли, то есть для выполнения рекомендация Московича достаточно 16 символов.

В Интернете можно найти множество генераторов паролей, стоит лишь воспользоваться поисковой системой. И, наконец, некоторые производители

оборудования стали продавать точки доступа и беспроводные адаптеры с автоматической настройкой защиты беспроводных соединений. Buffalo Technology. выпустила серию продуктов с технологией AOSS (AirStation One­Touch Secure Station). Linksys недавно начала производство и продажу оборудования с поддержкой подобной технологии SecureEasySetup от Broadcom.