Меню
ГлавнаяБраузеры

Угрозы и уязвимости беспроводных сетей. Грустная правда о безопасности домашнего Wi-Fi

Защита в сетях Wi-Fi постоянно совершенствовалась с самого момента появления этой беспроводной технологии. В последнее время она развилась настолько, что почти все современные маршрутизаторы ограждены от возможных атак надежными паролями, сложными методами шифрования, встроенными межсетевыми экранами и множеством других средств защиты от вторжений злоумышленников. Но что произойдёт, если алгоритмы шифрования, до сих пор делавшие Wi-Fi одним из самых защищенных протоколов, окажутся взломанными?

Именно это произошло осенью 2017 года, когда бельгийские исследователи из Лёвенского университета нашли несколько критических уязвимостей в протоколе WPA2 и опубликовали об этом подробный отчет. Протокол WPA2 используется для защиты большинства сетей Wi-Fi в мире и считается самым надежным средством безопасности среди доступных для массового применения.

Содержание

Как защитить свои данные, если Wi-Fi больше не гарантирует безопасность?

То, что WPA был взломан – это тревожная новость, которая затрагивает множество электронных устройств, однако в ней нет оснований для тревоги.

По сути, исследователи нашли уязвимость в протоколе Wi-Fi, которая делает беспроводной трафик потенциально доступным для прослушивания злоумышленниками. Иными словами, любой желающий может использовать этот изъян в сетевой безопасности, чтобы подсмотреть за чужими действиями в интернете, украсть номера кредитных карт, пароли, перехватить сообщения в мессенджерах и т.д.

К счастью, производители многих гаджетов уже успели улучшить и доработать свои устройства, устранив найденную уязвимость. И кроме того WPA2 – далеко не единственная стена защиты между хакером и персональными данными пользователей.

Чтобы взломать чужой Wi-Fi, злоумышленнику, во-первых, нужно расположить свою принимающую антенну в пределах действия радиоканала, а во-вторых, большая часть информации в интернете передаётся в уже зашифрованном виде, и хакер в любом случае не сможет её прочитать.
Протокол https, на котором работает большинство веб-серверов, добавляет соединению дополнительный уровень защиты, так же как и использование сервисов VPN.

Именно поэтому всегда нужно помнить о значке замка в адресной строке браузера. Если там не отображается маленький навесной замок, это значит, что сайт не использует протокол https, и вся информация, вводимая в формы, включая пароли, может быть доступна третьим лицам.

Именно поэтому перед тем, как отправить куда-то свой домашний адрес или данные платежа, всегда нужно убедиться, что в адресной строке есть замок.

Все ведущие разработчики программного обеспечения почти сразу после новости об уязвимости протокола Wi-Fi выпустили соответствующие патчи для своих продуктов. Например, Microsoft выпустил обновление для Windows в октябре 2017 года. Apple также исправил свои операционные системы macOS и iOS примерно в то же время.

Google выпустил обновление для Android в ноябре, поэтому каждому владельцу устройств с этой платформой нужно ознакомиться с разделом About в настройках телефона или планшета, чтобы узнать, когда было последнее обновление системы безопасности. Если оно выполнялось до ноября, и на телефоне установлен Android 6 или более ранняя версия ОС, то тогда необходимо сделать обновление.

Какой стандарт безопасности беспроводного соединения следует предпочесть?

Беспроводные маршрутизаторы могут использовать большой набор различных протоколов для шифрования данных. Вот три основных стандарта, с которыми работает большинство домашних и офисных маршрутизаторов:

1. Wired Equivalent Privacy (WEP) : этот протокол был введен в 1997 году сразу после разработки стандарта 802.11 Wi-Fi; в настоящее время WEP считается небезопасным и уже с 2003 его заменяет технология защиты информации WPA с методом шифрования TKIP.

2. Протокол Integrity Key Temporal Key (TKIP) . Этот стандарт также является устаревшим и постепенно выходит из использования. Но в отличие от WEP его по-прежнему можно встретить в прошивках многих моделей современного оборудования.

3. Advanced Encryption Standard (AES) . Этот стандарт был введен сразу после TKIP в 2004 году вместе с обновленной и улучшенной системой сертификации соединений WPA2. Маршрутизаторам, работающим именно с этой технологией нужно отдавать предпочтение при выборе нового сетевого оборудования. Гаджеты, подключаемые к беспроводной сети, также должны поддерживать AES, чтобы нормально взаимодействовать с такими маршрутизаторами. Несмотря на уязвимость, о которой говорилось выше, WPA2 по-прежнему считается лучшим методом защиты Wi-Fi. В настоящее время производители маршрутизаторов и интернет-провайдеры обычно используют WPA2 как стандарт; некоторые из них используют комбинацию WPA2 и WPA, чтобы сделать возможной работу с самым широким набором беспроводных гаджетов.

В технической документации к маршрутизаторам также иногда можно встретить буквы PSK, которые означают Pre-Shared-Key или Personal Shared Key. Когда есть выбор, всегда лучше отдать предпочтение моделям с WPA2-PSK (AES) вместо WPA2-PSK (TKIP), но если некоторые старые гаджеты не могут подключиться к роутеру, тогда можно остановиться и на WPA2-PSK (TKIP). Технология TKIP использует современный метод шифрования WPA2, оставляя старым устройствам, зависящим от TKIP, возможность подключаться к беспроводным маршрутизаторам.

Как обезопасить свой Wi-Fi

Отключение WPS

WPS расшифровывается как Wi-Fi Protected Setup, это стандарт и одновременно протокол, который был создан, чтобы сделать настройку беспроводных соединений проще. Несмотря на свою практичность и функциональность, это решение содержит серьёзный изъян: восьмизначный PIN-код, состоящий только из цифр, легко сломать методом примитивного подбора, и это создаёт удобную отправную точку для хакеров, желающих завладеть чужим Wi-Fi.

Что бы узнать, использует или нет беспроводной маршрутизатор протокол WPS, нужно повнимательней рассмотреть коробку, в которой он поставляется: поддержка WPS отмечается наличием особого логотипа на упаковке и отдельной физической кнопкой на корпусе устройства. С точки зрения защиты от взлома этот протокол лучше отключить и никогда им не пользоваться.

Угрозы для сетей WLAN

Обеспечить безопасность беспроводной сети еще сложнее, чем защитить проводную сеть. Защита должна стоять на первом месте для всех, кто использует или администрирует сети.

В диапазоне действия точки доступа сеть WLAN открыта для всех, кто обладает соответствующими учетными данными, посредством которых выполняется ассоциация с точкой доступа. Обладая беспроводным сетевым адаптером и знанием приемов взлома, злоумышленник может не присутствовать физически в том месте, где находится сеть WLAN, чтобы получить к ней доступ.

Вопросы безопасности приобретают еще большее значение, когда речь идет о корпоративных сетях, поскольку жизнедеятельность компании, помимо прочего, зависит от защищённости данных. Нарушения системы безопасности могут иметь катастрофические последствия для компаний, особенно если компания оперирует финансовой информацией своих клиентов. Беспроводные сети все чаще развертываются на предприятиях и во многих случаях являются уже не просто более удобным вариантом, но и критически важной частью сети. Хотя сети WLAN всегда были подвержены атакам, по мере роста их популярности они становятся целью номер один.

Атаки могут инициироваться посторонними людьми и недовольными сотрудниками, но помимо подобных недоброжелателей атака может быть ненамеренно спровоцирована любым сотрудником. Беспроводные сети особенно подвержены следующим угрозам:

· беспроводные злоумышленники;

· вредоносные приложения;

· перехват данных

· атаки DoS

На рисунке нажмите на каждую из угроз, чтобы просмотреть дополнительные сведения.

Примечания . В этой главе не рассматриваются такие угрозы, как спуфинг MAC-адреса точки доступа или беспроводного клиента, взлом и атаки на инфраструктуру.

Атака типа «отказ в обслуживании»

Ниже приведены причины возникновения DoS-атаки на беспроводную сеть.

· Неправильная настройка устройств - ошибки конфигурации могут стать причиной отключения сети WLAN. Например, администратор может случайно изменить конфигурацию и отключить сеть, либо злоумышленник с правами администратора может отключить сеть WLAN намеренно.



· Злоумышленник, намеренно препятствующий обмену данными по беспроводной сети - такие злоумышленники стремятся отключить беспроводную сеть полностью или до той степени, когда санкционированные устройства не смогут получить доступ к среде.

· Случайные помехи - сети WLAN работают на нелицензируемых частотных полосах и, следовательно, все беспроводные сети независимо от функций безопасности подвержены воздействию помех со стороны других беспроводных устройств. Случайные помехи могут возникать в результате работы таких устройств, как микроволновые печи, радиотелефоны, радио-няни и др. Полоса 2,4 ГГц в большей степени подвержена воздействию помех, чем полоса 5 ГГц.

Чтобы минимизировать риск DoS-атаки вследствие неправильной настройки устройств и вредоносных атак, следует обеспечить защиту всех устройств, хранить пароли в надежном месте, создавать резервные копии и изменять конфигурацию только в нерабочие часы.

Случайные помехи возникают только в случае работы других беспроводных устройств. Оптимальным решением является мониторинг сети WLAN на предмет проблем, связанных с помехами, и решение таких проблем по мере их возникновения. Поскольку полоса 2,4 ГГц в большей степени подвержена воздействию помех, в наиболее слабых зонах можно использовать полосу 5 ГГц. Некоторые решения для сетей WLAN обеспечивают автоматическую регулировку каналов точками доступа и позволяют использовать полосу 5 ГГц, чтобы компенсировать помехи. Например, некоторые решения стандарта 802.11n/ac/ad подстраиваются автоматически в целях противодействия помехам.

На рисунке показано, как радиотелефон или микроволновая печь могут создавать помехи для обмена данными по сети WLAN.

Технология Cisco CleanAir позволяет устройствам определять и находить источники помех, не относящиеся к стандарту 802.11. Эта технология создает сеть, которая способна автоматически приспосабливаться к изменениям в среде.

DoS-атаки с использованием кадров управления

Хотя это и маловероятно, злоумышленники могут намеренно инициировать DoS-атаку, используя устройства радиоэлектронного противодействия, которые создают случайные помехи. Более вероятно, что злоумышленники попытаются оперировать кадрами управления, потребляя, таким образом, ресурсы точки доступа, и загрузят каналы настолько, что они не смогут обслуживать санкционированный пользовательский трафик.

Кадры управления можно использовать для организации различных типов DoS-атак. Распространены два типа атак с использованием кадров управления.

· Атака путем ложного отключения - для осуществления такой атаки злоумышленник отправляет набор команд «отмены ассоциации» на все беспроводные устройства в пределах BSS. Эти команды вызывают отключение всех клиентов. При отключении все беспроводные клиенты сразу же пытаются выполнить повторную ассоциацию, что вызывает резкое увеличение объёма трафика. Злоумышленник продолжает отправлять кадры отмены ассоциации, и цикл повторяется.

· Лавинная атака разрешений отправки CTS - данный тип атаки возникает, когда злоумышленник использует метод разрешения конфликтов в среде CSMA/CA для монополизации полосы пропускания и отклонения доступа для всех остальных беспроводных клиентов. Для этого злоумышленник постоянно выполняет в BSS лавинную рассылку разрешений отправки CTS на ложный STA. Все остальные беспроводные клиенты, совместно использующие среду радиочастот, принимают CTS и перестают выполнять передачу данных до тех пор, пока злоумышленник не прекратит передачу кадров CTS.

На рис. 1 показано, как беспроводной клиент и точка доступа используют метод CSMA/CA для доступа к среде.

На рис. 2 показано, как злоумышленник создает лавинную рассылку кадров CTS на ложный беспроводной клиент. Теперь все остальные клиенты вынуждены дожидаться завершения периода, заданного в кадре CTS. Однако злоумышленник продолжает отправлять кадры CTS. Следовательно, остальные клиенты вынуждены постоянно ждать. Таким образом, злоумышленник контролирует среду.

Примечание . Это всего лишь единичный пример атаки с использованием кадров управления. Существуют и многие другие.

Чтобы снизить риск возникновения подобных атак, корпорация Cisco разработала ряд решений, включая функцию Cisco Management Frame Protection (MFP), которая также обеспечивает полноценную профилактическую защиту от спуфинга кадров и устройств. Система предотвращения вторжений Cisco Adaptive Wireless дополняет это решение функциями обнаружения вторжений на ранних сроках путем сопоставления сигнатур атак.

Комитет по стандартам IEEE 802.11 также разработал два стандарта безопасности беспроводной сети. Стандарт 802.11i, использующий Cisco MFP, определяет механизмы безопасности для беспроводных сетей, в то время как стандарт защиты кадров управления 802.11w направлен на решение проблем, связанных с манипуляцией кадрами управления.

Вредоносные точки доступа

Вредоносная точка доступа представляет собой беспроводной маршрутизатор, который можно охарактеризовать следующим образом.

· Такой маршрутизатор подключается к корпоративной сети без явной авторизации и в нарушение корпоративной политики. Любой пользователь, имеющий доступ к объектам, может установить (со злым умыслом или без) недорогой беспроводной маршрутизатор, который теоретически обеспечивает доступ к ресурсам защищенной сети.

· Злоумышленник может подключить или включить такой маршрутизатор с целью захвата данных клиента (например, MAC-адреса беспроводных и проводных клиентов) или захвата и маскировки пакетов данных для получения доступа к ресурсам сети; или же в целях инициации атаки с перехватом.

Следует также учитывать, насколько просто создать персональную беспроводную точку доступа. Например, пользователь, имеющий защищённый доступ к сети, настраивает свой авторизованный узел Windows, как точку доступа к сети Wi-Fi. При этом несакционированные устройства обходят меры безопасности и получают доступ к ресурсам сети, как одно общее устройство.

Чтобы предотвратить установку вредоносных точек доступа, организации должны использовать программное обеспечение для активного мониторинга спектра радиосигналов на предмет наличия несанкционированных точек доступа. Например, на снимке экрана программного обеспечения для управления сетями инфраструктуры Cisco Prime на рисунке показана карта радиочастот, определяющая местоположение злоумышленника с обнаруженным ложным MAC-адресом.

Примечание . Cisco Prime является программным обеспечением для управления сетями, которое взаимодействует с другими подобными программами, обеспечивая общее представление и централизованное размещение всех данных о сети. Как правило, это ПО развертывается в очень крупных организациях.

Атака с перехватом

К одному из более сложных типов атак, которые может применить злоумышленник, относится атака с перехватом. Существует множество способов создания атаки с перехватом.

Один из самых распространённых видов такой атаки называется «злой двойник», в рамках которой злоумышленник внедряет вредоносную точку доступа и настраивает ее с использованием такого же имени SSID, что и у санкционированной точки доступа. Места, где предлагается бесплатный доступ к сети Wi-Fi, например, аэропорты, кафе и рестораны - самые популярные мишени для атак такого типа, поскольку на этих объектах используется открытая аутентификация.

При подключении беспроводных клиентов отображаются две точки доступа, предлагающие беспроводной доступ. Те, кто находятся рядом с вредоносной точкой доступа, обнаруживают более мощный сигнал, и, скорее всего, выполнят ассоциацию с точкой доступа «злой двойник». Теперь пользовательский трафик отправляется на постороннюю точку доступа, которая, в свою очередь, захватывает данные и пересылает их на надежную точку доступа. Обратный трафик от санкционированной точки доступа отправляется на вредоносную точку доступа, захватывается, а затем пересылается ничего не подозревающей станции (STA). Злоумышленник может украсть пароль пользователя, личную информацию, получить доступ к сети и скомпрометировать систему пользователя.

Например, на рис. 1 злоумышленник находится в кафе «Латте Боба» и пытается захватить трафик от ничего не подозревающих беспроводных клиентов. Злоумышленник запускает программное обеспечение, которое делает его ноутбук точкой доступа типа «злой двойник», имеющей то же имя SSID и канал, что и санкционированный беспроводной маршрутизатор.

На рис. 2 пользователь видит два доступных беспроводных подключения, но выбирает для ассоциации точку доступа «злой двойник». Злоумышленник захватывает пользовательские данные и пересылает их на санкционированную точку доступа, которая, в свою очередь, направляет ответный трафик обратно на точку доступа «злой двойник». Точка доступа «злой двойник» захватывает ответный трафик и пересылает данные ничего не подозревающему пользователю.

Успешность предотвращения атаки с перехватом зависит от сложности инфраструктуры сети WLAN и тщательности мониторинга сети. Процесс начинается с определения санкционированных устройств в сети WLAN. Для этого пользователи должны пройти аутентификацию. После того, как определены все санкционированные устройства, можно выполнить мониторинг сети на предмет наличия подозрительных устройств или трафика.

Корпоративные сети WLAN, в которых используются самые современные устройства WLAN, предоставляют администраторам инструменты, которые в комплексе работают, как беспроводная система предотвращения вторжения (IPS). К таким инструментам относятся сканеры, с помощью которых выявляются вредоносные точки доступа и одноранговые сети, а также инструменты управления радиоресурсами, которые осуществляют мониторинг радиочастотной полосы на предмет активности и загрузки точки доступа. Большая нагрузка на точку доступа сигнализирует администратору о возможном наличии несанкционированного трафика.

Обзор безопасности беспроводной сети

Безопасность сети Wi-Fi всегда вызывала особое беспокойство, поскольку границы сети расширились. Сигналы беспроводной связи могут передаваться через твердые препятствия - потолки, полы, стены, за пределы дома или офиса. Без строгих мер безопасности установка сети WLAN - сродни повсеместному размещению Ethernet-портов, даже на улице.

Чтобы предотвратить угрозы со стороны злоумышленников, пытающихся проникнуть в беспроводную сеть, и защитить данные, использовались две функции обеспечения безопасности.

· Сокрытие идентификатора SSID . Точки доступа и некоторые беспроводные маршрутизаторы позволяют отключить кадр сигнала идентификатора SSID. Беспроводные клиенты должны вручную определить имя SSID, чтобы подключиться к сети.

· Фильтрация MAC-адресов . Администратор может вручную разрешить или запретить клиентам беспроводной доступ в зависимости от MAC-адреса их физического оборудования.

Хотя эти две функции отсеивают большинство пользователей, на самом деле ни сокрытие идентификатора SSID, ни фильтрация MAC-адресов не помешают умелому взломщику. Имена SSID легко обнаружить даже в том случае, если точки доступа не выполняют их широковещательную рассылку, а MAC-адреса можно подделать. Оптимальным способом защиты беспроводной сети является использование систем аутентификации и шифрования (см. рис. 1).

В исходном стандарте 802.11 представлено два типа аутентификации:

· Аутентификация открытой системы . Все беспроводные клиенты могут легко выполнить подключение, и такая система может использоваться только в тех случаях, когда безопасность не имеет особого значения (например, в местах, где предоставляется бесплатный доступ к Интернету - кафе, отели и удалённые расположения).

· Аутентификация согласованного ключа . Для аутентификации и шифрования данных, передаваемых между беспроводным клиентом и точкой доступа, предоставляет такие механизмы, как WEP, WPA или WPA2 . Однако для подключения пароль необходимо предварительно согласовать между сторонами.

На схеме на рис. 2 представлены краткие сведения о различных типах аутентификации.

Методы аутентификации согласованного ключа

Как показано на рис. 1, доступны три варианта аутентификации согласованного ключа:

· Протокол шифрования беспроводной связи (WEP) . Исходная спецификация 802.11, которая разработана для обеспечения конфиденциальности на уровне, сопоставимом с проводным подключением. Защита данных обеспечивается посредством метода шифрования RC4 с использованием статического ключа. Однако ключ никогда не изменяется при передаче пакетов, поэтому его достаточно легко взломать.

· Защищённый доступ к Wi-Fi (WPA) . Стандарт Wi-Fi Alliance, который использует WEP, но обеспечивает защиту данных за счёт гораздо более надежного алгоритма шифрования с использованием временных ключей (TKIP). TKIP изменяет ключ для каждого пакета, поэтому его гораздо сложнее взломать.

· IEEE 802.11i/WPA2 . Стандарт IEEE 802.11i является отраслевым стандартом безопасности беспроводных сетей. Версия Wi-Fi Alliance называется WPA2. 802.11i и WPA2 используют для шифрования усовершенствованный стандарт шифрования (AES). В настоящее время AES считается самым надежным протоколом шифрования.

Использовать WEP уже не рекомендуется. Общие ключи WEP показали свою несостоятельность, и, следовательно, их не следует использовать. Чтобы компенсировать слабые стороны общих ключей WEP, компании сначала пытались скрывать идентификаторы SSID и фильтровать MAC-адреса. Эти методы также оказались слишком ненадежными.

Ввиду ненадежности систем безопасности на основе WEP, в течение некоторого времени использовались промежуточные меры безопасности. Такие поставщики, как Cisco, стремясь удовлетворить повышенные требования в отношении безопасности, разработали собственные системы, одновременно пытаясь усовершенствовать стандарт 802.11i. В процессе развития стандарта 802.11i был создан алгоритм шифрования TKIP, который был связан с методом обеспечения безопасности Wi-Fi Alliance WPA.

Современные беспроводные сети всегда должны использовать стандарт 802.11i/WPA2. WPA2 является версией Wi-Fi стандарта 802.11i, следовательно, термины WPA2 и 802.11i зачастую являются взаимозаменяемыми.

С 2006 года все устройства, на которые нанесен логотип Wi-Fi Certified, сертифицированы для использования WPA2.

Примечание . В целях оптимизации производительности, сети Wireless-N должны использовать режим безопасности WPA2-Personal.

В таблице на рис. 2 показаны общие сведения о трех типах методов аутентификации согласованных ключей.

Методы шифрования

Шифрование используется для защиты данных. Если злоумышленник выполнил захват зашифрованных данных, он не сможет их расшифровать за короткий срок.

Стандарты IEEE 802.11i, Wi-Fi Alliance WPA и WPA2 используют следующие протоколы шифрования:

· Шифрование с использованием временных ключей (TKIP) . TKIP является методом шифрования, который используется стандартом WPA. Он обеспечивает поддержку предыдущих версий оборудования сетей WLAN за счёт устранения исходных уязвимостей, характерных для метода шифрования 802.11 WEP. Он использует WEP, однако выполняет шифрование полезной нагрузки 2 уровня с использованием TKIP и выполняет проверку целостности сообщений в зашифрованном пакете, чтобы убедиться в том, что сообщение не используется несанкционированно.

· Усовершенствованный стандарт шифрования (AES) . AES является методом шифрования, который используется стандартом WPA2. Этот метод является предпочтительным, поскольку соответствует отраслевому стандарту IEEE 802.11i. AES выполняет те же функции, что и TKIP, но обеспечивает значительно более надежный метод шифрования. Он использует протокол CCMP, который позволяет узлам назначения распознавать зашифрованные и незашифрованные биты, используемые несанкционированно.

Примечание . По возможности всегда следует выбирать WPA2 с AES.

Поскольку беспроводные сети используют радиоволны, качество работы сети зависит от многих факторов. Наиболее ярким примером является интерференция радиосигналов, способная значительно ухудшить показатели пропускной способности и количества поддерживаемых пользователей, вплоть до полной невозможности использования сети. Источником интерференции может быть любое устройство, излучающее сигнал достаточной мощности в том же частотном диапазоне, что и точка доступа: от соседних точек доступа у условиях густонаселенного офисного центра, до электромоторов на производстве, гарнитур Bluetooth и даже микроволновок. С другой стороны, злоумышленники могут использовать интерференцию для организации DoS атаки на сеть.
Чужаки, работающие на том же канале, что и легитимные точки доступа, открывают не только доступ в сеть, но и нарушают работоспособность «правильной» беспроводной сети. Кроме того, для реализации атак на конечных пользователей и для проникновения в сеть с помощью атаки Man-In-The Middle злоумышленники часто заглушают точки доступа легитимной сети, оставляя только одну - свою точку доступа с тем же самым именем сети.
Связь
Помимо интерференции, существуют другие аспекты, влияющие на качество связи в беспроводных сетях. Поскольку беспроводная среда является средой с общим доступом, каждый неверно сконфигурированный клиент, или сбоящая антенна точки доступа могут создавать проблемы, как на физическом, так и на канальном уровне, приводя к ухудшению качества обслуживания остальных клиентов сети.

Что делать?

Итого, беспроводные сети порождают новые классы рисков и угроз, от которых невозможно защититься традиционными проводными средствами. Даже если в организации формально запрещен Wi-Fi – это еще не значит, что кто-нибудь из пользователей не установит чужака и сведет этим все вложения в безопасность сети к нулю. Кроме того, ввиду особенностей беспроводной связи, важно контролировать не только безопасность инфраструктуры доступа, но и следить за пользователями, которые могут стать объектом атаки злоумышленника либо просто могут случайно или умышленно перейти с корпоративной сети на незащищенное соединение.
безопасность Добавить метки

Серьезной проблемой для всех беспроводных локальных сетей (и, если уж на то пошло, то и всех проводных локальных сетей) является безопасность. Безопасность здесь так же важна, как и для любого пользователя сети Интернет. Безопасность является сложным вопросом и требует постоянного внимания. Огромный вред может быть нанесен пользователю из-за того, что он использует случайные хот-споты (hot-spot) или открытые точки доступа WI-FI дома или в офисе и не использует шифрование или VPN (Virtual Private Network - виртуальная частная сеть). Опасно это тем, что пользователь вводит свои личные или профессиональные данные, а сеть при этом не защищена от постороннего вторжения.

WEP

Изначально было сложно обеспечить надлежащую безопасность для беспроводных локальных сетей.

Хакеры легко осуществляли подключение практически к любой WiFi сети взламывая такие первоначальные версии систем безопасности, как Wired Equivalent Privacy (WEP). Эти события оставили свой след, и долгое время некоторые компании неохотно внедряли или вовсе не внедряли у себя беспроводные сети, опасаясь, что данные, передаваемые между беспроводными WiFi устройствами и Wi-Fi точками доступа могут быть перехвачены и расшифрованы. Таким образом, эта модель безопасности замедляла процесс интеграции беспроводных сетей в бизнес и заставляла нервничать пользователей, использующих WiFi сети дома. Тогда институт IEEE, создал рабочую группу 802.11i , которая работала над созданием всеобъемлющей модели безопасности для обеспечения 128-битного AES шифрования и аутентификации для защиты данных. Wi-Fi Альянс представил свой собственный промежуточный вариант этого спецификации безопасности 802.11i: Wi-Fi защищенный доступ (WPA – Wi-Fi Protected Access). Модуль WPA сочетает несколько технологий для решения проблем уязвимости 802.11 WEP системы. Таким образом, WPA обеспечивает надежную аутентификацию пользователей с использованием стандарта 802.1x (взаимная аутентификация и инкапсуляция данных передаваемых между беспроводными клиентскими устройствами, точками доступа и сервером) и расширяемый протокол аутентификации (EAP).

Принцип работы систем безопасности схематично представлен на рис.1

Также, WPA оснащен временным модулем для шифрования WEP-движка посредствам 128 – битного шифрования ключей и использует временной протокол целостности ключей (TKIP). А с помощью контрольной суммы сообщения (MIC) предотвращается изменение или форматирование пакетов данных. Такое сочетание технологий защищает конфиденциальность и целостность передачи данных и гарантирует обеспечение безопасности путем контроля доступа, так чтобы только авторизованные пользователи получили доступ к сети.

WPA

Дальнейшее повышение безопасности и контроля доступа WPA заключается в создании нового уникального мастера ключей для взаимодействия между каждым пользовательским беспроводным оборудованием и точками доступа и обеспечении сессии аутентификации. А также, в создании генератора случайных ключей и в процессе формирования ключа для каждого пакета.

В IEEE стандарт 802.11i, ратифицировали в июне 2004 года, значительно расширив многие возможности благодаря технологии WPA. Wi-Fi Альянс укрепил свой модуль безопасности в программе WPA2. Таким образом, уровень безопасности передачи данных WiFi стандарта 802.11 вышел на необходимый уровень для внедрения беспроводных решений и технологий на предприятиях. Одно из существенных изменений 802.11i (WPA2) относительно WPA это использования 128-битного расширенного стандарта шифрования (AES). WPA2 AES использует в борьбе с CBC-MAC режимом (режим работы для блока шифра, который позволяет один ключ использовать как для шифрования, так и для аутентификации) для обеспечения конфиденциальности данных, аутентификации, целостности и защиты воспроизведения. В стандарте 802.11i предлагается также кэширование ключей и предварительной аутентификации для упорядочивания пользователей по точкам доступа.

WPA2

Со стандартом 802.11i, вся цепочка модуля безопасности (вход в систему, обмен полномочиями, аутентификация и шифрование данных) становится более надежной и эффективной защитой от ненаправленных и целенаправленных атак. Система WPA2 позволяет администратору Wi-Fi сети переключиться с вопросов безопасности на управление операциями и устройствами.

Стандарт 802.11r является модификацией стандарта 802.11i. Данный стандарт был ратифицирован в июле 2008 года. Технология стандарта более быстро и надежно передает ключевые иерархии, основанные на технологии Handoff (передача управления) во время перемещения пользователя между точками доступа. Стандарт 802.11r является полностью совместимой с WiFi стандартами 802.11a/b/g/n.

Также существует стандарт 802.11w , предназначенный для усовершенствования механизма безопасности на основе стандарта 802.11i. Этот стандарт разработан для защиты управляющих пакетов.

Стандарты 802.11i и 802.11w – механизмы защиты сетей WiFi стандарта 802.11n.

Шифрование файлов и папок в Windows 7

Функция шифрования позволяет вам зашифровать файлы и папки, которые будет в последствии невозможно прочитать на другом устройстве без специального ключа. Такая возможность присутствует в таких версиях пакетаWindows 7 как Professional, Enterprise или Ultimate. Далее будут освещены способы включения шифрования файлов и папок.

Включение шифрования файлов:

Пуск -> Компьютер(выберите файл для шифрования)-> правая кнопка мыши по файлу->Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты->Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->

Включение шифрования папок:

Пуск -> Компьютер(выберите папку для шифрования)-> правая кнопка мыши по папку-> Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты-> Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->Закрыть диалог Свойства(Нажать Ok или Закрыть).

Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, или WPA2? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.

Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же.

Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.

Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.

Защита Wi-Fi сети: WEP, WPA, WPA2

Есть три варианта защиты. Разумеется, не считая "Open" (Нет защиты) .

  • WEP (Wired Equivalent Privacy) – устаревший и небезопасный метод проверки подлинности. Это первый и не очень удачный метод защиты. Злоумышленники без проблем получают доступ к беспроводным сетям, которые защищены с помощью WEP. Не нужно устанавливать этот режим в настройках своего роутера, хоть он там и присутствует (не всегда) .
  • WPA (Wi-Fi Protected Access) – надежный и современный тип безопасности. Максимальная совместимость со всеми устройствами и операционными системами.
  • WPA2 – новая, доработанная и более надежная версия WPA. Есть поддержка шифрования AES CCMP. На данный момент, это лучший способ защиты Wi-Fi сети. Именно его я рекомендую использовать.

WPA/WPA2 может быть двух видов:

  • WPA/WPA2 - Personal (PSK) – это обычный способ аутентификации. Когда нужно задать только пароль (ключ) и потом использовать его для подключения к Wi-Fi сети. Используется один пароль для всех устройств. Сам пароль хранится на устройствах. Где его при необходимости можно посмотреть, или сменить. Рекомендуется использовать именно этот вариант.
  • WPA/WPA2 - Enterprise – более сложный метод, который используется в основном для защиты беспроводных сетей в офисах и разных заведениях. Позволяет обеспечить более высокий уровень защиты. Используется только в том случае, когда для авторизации устройств установлен RADIUS-сервер (который выдает пароли) .

Думаю, со способом аутентификации мы разобрались. Лучшие всего использовать WPA2 - Personal (PSK). Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA/WPA2. На многих маршрутизаторах этот способ установлен по умолчанию. Или помечен как "Рекомендуется".

Шифрование беспроводной сети

Есть два способа TKIP и AES .

Рекомендуется использовать AES. Если у вас в сети есть старые устройства, которые не поддерживают шифрование AES (а только TKIP) и будут проблемы с их подключением к беспроводной сети, то установите "Авто". Тип шифрования TKIP не поддерживается в режиме 802.11n.

В любом случае, если вы устанавливаете строго WPA2 - Personal (рекомендуется) , то будет доступно только шифрование по AES.

Какую защиту ставить на Wi-Fi роутере?

Используйте WPA2 - Personal с шифрованием AES . На сегодняшний день, это лучший и самый безопасный способ. Вот так настройки защиты беспроводной сети выглядит на маршрутизаторах ASUS:

А вот так эти настройки безопасности выглядят на роутерах от TP-Link (со старой прошивкой) .

Более подробную инструкцию для TP-Link можете посмотреть .

Инструкции для других маршрутизаторов:

Если вы не знаете где найти все эти настройки на своем маршрутизаторе, то напишите в комментариях, постараюсь подсказать. Только не забудьте указать модель.

Так как WPA2 - Personal (AES) старые устройства (Wi-Fi адаптеры, телефоны, планшеты и т. д.) могут не поддерживать, то в случае проблем с подключением устанавливайте смешанный режим (Авто).

Не редко замечаю, что после смены пароля, или других параметров защиты, устройства не хотят подключаться к сети. На компьютерах может быть ошибка "Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети". Попробуйте удалить (забыть) сеть на устройстве и подключится заново. Как это сделать на Windows 7, я писал . А в Windows 10 нужно .

Пароль (ключ) WPA PSK

Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.

Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: - @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что "z" и "Z" это разные символы.

Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.

Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: .

Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 - Personal в паре с AES и сложным паролем – вполне достаточно.

А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте 🙂