Личен блог на Георги Христов

Интерфейс към терзанията на един гийк

Защита на безжична мрежа

Обезпокоен съм от трафика, който идва към блога от търсене на ключови фрази включващи думи като кракване, трошене, хакване пробиване и разбиване на WI-FI или иначе казано безжични мрежи. Също така все по-често ставам свидетел на обсъждането на темата от неспециалисти и размяната на дискове с програми и инструменти. Затова реших на напиша няколко реда със съвети “как да защитим домашната безжична мрежа”.

Много често чувам коментари от типа: “нека я ползват”. Добре, нека я ползват, ако не е с престъпни цели, но откъде съм сигурен, че е така? Освен това, аз толкова ли съм тъп, че да си плащам, а друг да ми краде “безжичния интернет”. Да приемем, че не сме скъперници и целта е да се защитим от неграмотни  и злонамерени “хакери”.

За начало можем да започнем с криптиране на нашата връзка. На прост език казано, това е алгоритъма, който се използва за да се “кодира” трафика от нашето безжично устройство до точката за достъп или маршрутизатора (рутера).  В момента са разпространени три типа: WEP, WPA и WPA2. WEP е най-стария и незаслужаващ внимание алгоритъм. Може да бъде разбит за броени минути. При възможност го избягвайте. До скоро WPA се смяташе като сравнително сигурен алгоритъм, но вече не е така. Все пак е за предпочитане пред WEP. При наличие на поддръжка на WPA2 от вашите устройства силно препоръчвам да го използвате. Тъй като в TKIP са известни доста повече слабости задайте ограничение на криптирането единствено на CCMP (AES).

Като втора стъпка бих посочил ограничаване на МАC адресите, които могат да се свържат във вашата мрежа. В повечето случаи опцията в уеб интерфейсите на най-разпространените безжични рутери се нарича “MAC Address Filter”.  Въведете адресите на вашите мобилни устройства и го активирайте след като отбележите, че само те могат да се свържат с тази мрежа.

При наличие на client isolation или AP isolation използвайте ги. Мисля, че няма смисъл от допълнителни обяснения, просто ги активирайте.

Нещо като малък трик е наличието на 802.11 n устройства. Хитростта, може да се състои в това да се ограничи единствено до този протокол. Така се намалява броя на устройствата, които могат се свързват. Освен това  да се атакува такава мрежа се усложнява от факта, че все още не са много устройствата, поддържащи този протокол и да има написани драйвери за тях, с които да имат възможност да работят в т. нар. режим на “мониторинг”.

Към първата стъпка може да се добави използването на Radius server. В повечето случаи такива сървъри има инсталирани само на модифицирани софтуери при масовите безжични рутери.

Като допълнение използвайте статичен DHCP или направо го изключете. Не препоръчвам промяна на стойности и функции, които не разбирате. Например MTU.

Какво да правим ако искаме да споделим все пак някаква част от нашия интернет с всеки непознат? -Конфигурирането на hot spot едновременно с домашна безжична мрежа далече не е тривилна задача. Затова препоръчвам да се използват или предназначени за това рутери или да се използва модифициран firmaware, с такава възможност, където голяма част от настройките са направени предварително от хора, знаещи какво правят.

Това са елементарни методи за защита. Препоръчителни са за домашни и непрофесионални безжични мрежи. Ако имате малък бизнес и желаете да се възползвате от удобството на безжичните технологии силно препоръчително е да се свържете със специалист в тази област за да избегнете нежелани проблеми и последствия.

Подобни публикации:

  1. Кракване на безжична мрежа

Публикувано на | October 9, 2009 | Към момента няма коментари по публикацията


Категории: мрежи
Тагове: >

Мнения и коментари

  • Добавете ме в Google+

  • Последни публикации

  • Последни коментари