| ||||
Умения нулевого уровня: любой владелец компьютера с беспроводным адаптером
Для того чтобы взломать незащищённую сеть можно и не обладать какими-либо особыми навыками - каждый владелец компьютера с беспроводным адаптером потенциально способен это сделать. Простота использования чаще упоминается в контексте беспроводных сетевых решений как огромный плюс, однако это палка о двух концах. Во многих случаях, включив компьютер с поддержкой беспроводной сети, пользователь автоматически подключается к точке доступа или видит её в списке доступных.
Ниже приведены меры, которые позволят защитить вашу сеть от случайных посетителей, но ничуть не затруднят доступ к ней более умелым взломщикам. Все меры упорядочены в списке по важности. Большинство из них настолько просты, что мы рекомендуем реализовать их все, если позволяет оборудование.
1. Смените настройки по умолчанию
Как минимум, измените пароль администратора (и имя пользователя, если можно) и идентификатор SSID (имя сети) на точке доступа. Как правило, учётные данные администратора, установленные по умолчанию, для большинства беспроводного оборудования. Поэтому, не заменив их, вы рискуете однажды получить отказ при входе в систему и лишиться возможности управления беспроводной сетью (до тех пор, пока не сбросите все настройки)!
Изменить SSID особенно необходимо в том случае, если вы работаете по соседству с другими точками доступа. Если соседние точки доступа окажутся того же производителя, то они имеют тот же SSID по умолчанию, и клиенты, что вполне вероятно, смогут неосознанно подключиться к вашей ТД, а не к своей. Для нового SSID не следует использовать личную информацию! Во время вардрайвинга нам удавалось заметить следующие SSID:
- имя и фамилия;
- улица, дом, квартира;
- номер паспорта;
- номер телефона.
В принципе, если рядом есть несколько точек доступа, то имеет смысл изменить и канал, чтобы избежать взаимных помех. Однако эта мера не особо повлияет на защищённость, поскольку клиенты чаще всего просматривают все доступные каналы.
2. Обновите прошивку и, если нужно, оборудование
Использование на точке доступа последней версии программного обеспечения также повышает безопасность. В новой прошивке обычно исправлены обнаруженные ошибки, а иногда и добавлены новые возможности защиты. У некоторых новых моделей точек доступа для обновления достаточно пару раз щёлкнуть кнопкой мыши.
Точки доступа, выпущенные несколько лет назад, часто уже не поддерживаются производителями, то есть новых прошивок ожидать не стоит. Если же прошивка вашей точки доступа не поддерживает даже (Wi-Fi Protected Access), не говоря о , то следует всерьёз задуматься о её замене. То же самое касается адаптеров!
В принципе, всё продаваемое сегодня оборудование 802.11g поддерживает, как минимум, WPA и технически способно быть модернизировано до уровня WPA2. Однако производители не всегда торопятся с обновлением старых продуктов. Если хотите убедиться, поддерживает ли ваше оборудование WPA2, обратитесь на сайт .
3. Отключите широковещание SSID
Большинство точек доступа позволяют отключить широковещание SSID, что может обвести вокруг пальца некоторые утилиты вроде . Кроме того, скрытие SSID блокирует обнаружение вашей сети средствами встроенной утилиты настройки беспроводной сети Windows XP (Wireless Zero Configuration) и других клиентских приложений. На Рис. 1 показан пункт отключения широковещания SSID "Hide ESSID" на точке доступа ParkerVision. ("SSID" и "ESSID" в данном случае означают одно и то же).
Примечание. Отключение широковещания SSID не обезопасит вас от взломщиков, использующих такие средства, как или . Они определяют наличие беспроводной сети независимо от SSID.
4. Выключайте сеть, когда не работаете!
Часто пользователи пропускают мимо внимания самый простой способ защиты - выключение точки доступа. Раз нет беспроводной сети, то нет и проблем. Простейший таймер может отключать точку доступа, например, на ночь, пока вы ей не пользуетесь. Если для беспроводной сети и для доступа в Интернет вы используете один и тот же беспроводной маршрутизатор, то при этом соединение с Интернетом тоже не будет работать - вполне неплохо.
Если же вы не хотите отключать соединение с Интернетом, тогда можно отключать радиомодуль маршрутизатора вручную, если он это позволяет. На Рис. 2 показан пункт отключения радиомодуля. Такой способ недостаточно надёжен, поскольку он зависит от "человеческого фактора" - можно просто забыть об отключении. Возможно, производители когда-нибудь добавят функцию отключения радиомодуля по расписанию.
5. Фильтрация по MAC-адресам
Фильтрация по MAC-адресам используется для того, чтобы доступ к сети могли получить (или, наоборот, не получить) только те компьютеры, чьи адреса указаны в списке. Фильтрация защитит вашу сеть от новичков, но более опытные хакеры могут легко перехватить MAC-адреса и подменить свой адрес на один из разрешённых.
6. Снижение мощности передачи
Лишь некоторые потребительские точки доступа имеют эту функцию, однако снижение мощности передачи позволит ограничить количество как преднамеренных, так и случайных неавторизованных подключений. Впрочем, чувствительность доступных массовому пользователю беспроводных адаптеров постоянно растёт, так что вряд ли стоит озадачиваться этим способом, особенно если вы это делаете исключительно из-за безопасности в многоквартирном доме.
Опытные хакеры обычно используют мощные направленные антенны, что позволяет им обнаруживать даже очень слабый сигнал и сводит существенность этого пункта к нулю.
