| ||||
Умения первого уровня: пользователь с общедоступным набором утилит для взлома WLAN
Перейдём к более опытным пользователям, которые специально бродят по окрестностям в поисках беспроводных сетей. Некоторые занимаются этим просто из интереса, пытаясь обнаружить, сколько сетей находится рядом. Они никогда не пытаются использовать уязвимые сети. Но есть и менее доброжелательные хакеры, которые подключаются и используют сети, а иногда даже доставляют владельцам неудобства.
Как мы полагаем, все принятые меры нулевого уровня не спасут от взломщиков первого уровня, и незваный гость может проникнуть в вашу сеть. От него можно защититься, используя шифрование и аутентификацию. С аутентификацией будем разбираться немного позже, пока же остановимся на шифровании.
Примечание. Одно из возможных решений - пропускать весь беспроводной трафик через туннель VPN (Virtual Private Network - виртуальная частная сеть), однако настройка VPN не совсем проста и выходит за рамки данного материала.
7. Шифрование
Владельцам беспроводных сетей следует использовать самый надёжный из доступных методов шифрования. Конечно, здесь всё зависит от оборудования, но, так или иначе, обычно можно выбрать WEP, WPA или WPA2.
WEP (Wired Equivalent Privacy - безопасность, эквивалентная проводной сети) является наиболее слабым протоколом, но на текущее время он наиболее широко распространён и поддерживается практически всем оборудованием 802.11. Возможно, придётся остановиться на использовании этой технологии и потому, что не все производители беспроводного оборудования выпустили обновления прошивки с поддержкой WPA для оборудования 802.11b. Некоторые до сих пор выпускают оборудование, которое поддерживает только WEP, например - беспроводные VoIP-телефоны. Таким образом, приходится искусственно снижать безопасность сети из-за того, что не всё оборудование поддерживает более новые технологии.
Как WPA (Wi-Fi Protected Access), так и WPA2 обеспечивают хорошую защиту беспроводной сети, что достигается благодаря более стойкому алгоритму шифрования и улучшенному алгоритму управления ключами. Основное отличие между ними состоит в том, что WPA2 поддерживает более стойкое шифрование AES (Advanced Encryption Standard). Однако, ряд продуктов, поддерживающих WPA, тоже позволяют использовать алгоритм шифрования AES вместо стандартного TKIP.
Большинство продуктов 802.11g поддерживают WPA, но есть и исключения. Что касается обновления старых продуктов до WPA2, то многие прошивки до сих пор находятся в состоянии разработки, несмотря на то, что стандарт 802.11i, на котором основан WPA2, был утверждён ещё в июне 2004.
Мы рекомендуем, по меньшей мере, использовать WPA. Его эффективность сопоставима с WPA2, и, как мы уже писали, стандарт поддерживается большим количеством оборудования. Конечно, внедрение WPA может потребовать покупки нового оборудования, особенно, если вы используете 802.11b. Однако оборудование 11g стоит сегодня относительно недорого и сможет оправдать себя.
Большинство потребительских точек доступа WPA и WPA2 поддерживают только режим с общим паролем WPA-PSK (Pre-Shared Key) (Рис. 4). WPA2 или WPA "Enterprise" (он же WPA "RADIUS") также поддерживается в некотором оборудовании, однако его использование требует наличия сервера RADIUS.
Для большинства частных беспроводных сетей использование WPA-PSK обеспечит вполне достаточную защиту, но только при выборе относительно длинного и сложного пароля. Не следует использовать только цифры или слова из словаря, поскольку такие программы, как , позволяют проводить словарные атаки против WPA-PSK.
Роберт Москович (Robert Moskowitz), старший технический директор ICSA Labs, в своей рекомендовал использовать 128-битное шифрование PSK. К счастью, все реализации WPA позволяют использовать цифробуквенные пароли, то есть для выполнения рекомендация Московича достаточно 16 символов.
В Интернете можно найти множество генераторов паролей, стоит лишь воспользоваться поисковой системой. Например, имеет множество настроек и позволяет оценивать, насколько сложен взлом сгенерированного пароля.
И, наконец, некоторые производители оборудования стали продавать точки доступа и беспроводные адаптеры с автоматической настройкой защиты беспроводных соединений. Buffalo Technology выпустила серию продуктов с технологией (AirStation One-Touch Secure Station). Linksys недавно начала производство и продажу оборудования с поддержкой подобной технологии от Broadcom.
