РЕКЛАМА
ИНФОРМАЦИЯ
ПОЛЕЗНЫЕ ССЫЛКИ
Взламываем WEP: руководство THG

Linksys WRT54GS: широкополосный беспроводной маршрутизатор с поддержкой технологии 11g SpeedBooster

Скоростной беспроводной маршрутизатор Linksys WRT54GX: преимущества True MIMO

Руководство по решению проблем: прокладываем VPN через брандмауэры NAT

Rambler's Top100 Рейтинг@Mail.ru

СЕТИ

Защищаем беспроводную сеть: руководство THG
Краткое содержание статьи: В предыдущем руководстве мы пошагово рассмотрели, как можно взломать беспроводную сеть с защитой WEP. Теперь настало время поговорить об эффективной защите WLAN. В нашем новом руководстве мы рассмотрим весь комплекс мер, который позволит предотвратить взлом вашей сети. Или существенно осложнит жизнь злоумышленнику.

Защищаем беспроводную сеть: руководство THG


Редакция THG,  3 сентября 2005
Назад
Вы читаете страницу 4 из 4
1 2 3 4
Далее


Умения второго уровня: пользователь с расширенным набором утилит для взлома WEP/WPA-PSK

WPA и WPA2 закрывают большинство проблем, которые есть у WEP, но они всё же остаются уязвимыми, особенно в варианте PSK. Многие уже сами испробовали, как взломать WEP, тем более что в нашем предыдущем материале мы пошагово описали процедуру взлома.

Взлом WPA и WPA2 с паролем более сложен и требует больших затрат, особенно при использовании шифрования AES, но всё же возможен.

8. Аутентификация

Для защиты от этой угрозы следует внедрять аутентификацию. Аутентификация добавляет ещё один уровень безопасности, требуя, чтобы компьютер клиента зарегистрировался в сети. Традиционно это выполняется при помощи сертификатов, маркеров или паролей (также известных как Pre-Shared-Key), которые проверяются на сервере аутентификации.

Стандарт 802.1X позволяет работать с WEP, WPA и WPA2 и поддерживает несколько типов аутентификации EAP (Extensible Authentication Protocol). Подробнее о протоколах аутентификации EAP, WPA и WPA2 вы можете узнать в материале Джорджа Оу (George Ou).

Настройка аутентификации может оказаться затруднительной и дорогой задачей даже для профессионалов, не говоря об обычных пользователях. На нынешней конференции RSA в Сан-Франциско, например, многие посетители решили не настраивать безопасность беспроводных подключений только из-за того, что руководство занимало целую страницу!

К счастью, ситуация постоянно улучшается, и вам уже не нужно покупать полноценный сервер RADIUS, поскольку появилось множество простых в установке альтернативных решений. Например, LucidLink предлагает бесплатную полнофункциональную версию одноимённого сервера до конца 2005 года, поддерживающего средства аутентификации и защиты для трёх пользователей.

Подобный продукт от Wireless Security Corporation (недавно приобретённой McAfee) носит название WSC Guard. Цена подписки на него начинается от $4,95 в месяц за каждого пользователя, при оплате нескольких мест действуют скидки. Бесплатную 30-дневную тестовую версию можно скачать здесь.

Следующее решение больше подходит для опытных "сетевиков" - TinyPEAP является прошивкой с сервером RADIUS, который поддерживает аутентификацию PEAP на беспроводных маршрутизаторах Linksys WRT54G и GS. Отметим, что прошивка официально не поддерживается Linksys, так что установка выполняется на свой страх и риск.

Умения третьего уровня: профессиональный хакер

До сего момента защита сводилась к тому, чтобы не дать злоумышленнику подключиться к вашей сети. Но что делать, если, несмотря на все усилия, хакер пробрался в сеть?

Существуют системы обнаружения и предотвращения атак для проводных и беспроводных сетей, однако они нацелены на корпоративный уровень и имеют соответствующую стоимость. Также можно найти и решения, основанные на открытом исходном коде, но они, к сожалению, не совсем понятны для новичков. Кстати, наиболее популярной здесь является система Snort.

За многие годы существования проводных сетей были выработаны основные принципы безопасности, которые можно применять и к беспроводным сетям. Они позволят защититься от вторжения злоумышленника.

9. Общая безопасность сети

Для усиления защиты сетей следует внедрить следующие меры.

  • Аутентификация при обращении к любому сетевому ресурсу.
    Любой сервер, любой общий ресурс, панель управления маршрутизатором и т.д. должны требовать аутентификации. Хотя внедрить на уровне пользователей настоящую аутентификацию без соответствующего сервера невозможно. Как минимум, следует установить пароли на все общие ресурсы и отключить гостевую учётную запись, если вы используете Windows XP. И никогда не предоставляйте в общее пользование целые разделы!
  • Сегментирование сети.
    Компьютер, не подключённый к сети, защищён от сетевых атак. Однако есть и другие способы ограничения доступа. Несколько правильно настроенных недорогих маршрутизаторов NAT могут послужить прекрасной основой для создания защищённых сегментов LAN, с возможностью доступа из них в Интернет. Подробнее об этом читайте здесь.
    Коммутаторы или маршрутизаторы с поддержкой VLAN помогут также с разделением сети. Впрочем, функции VLAN есть на большинстве управляемых коммутаторов, однако они практически не встречаются в недорогих маршрутизаторах и неуправляемых коммутаторах.
  • Программные средства защиты.
    Как минимум, нужно использовать обновлённые антивирусные решения и регулярно обновлять базы. Персональные брандмауэры, такие как ZoneAlarm, BlackICE и другие оповестят о подозрительной сетевой активности. К сожалению, последние версии вредоносных и "шпионских" программ требуют установки ещё и специального "анти-шпионского" программного обеспечения. Здесь можно отметить Webroot Softwares Spy Sweeper, а также Sunbelt Software's CounterSpy.
    Отметим, что для организации надёжной защиты сети необходимо защитить все машины без исключения!
  • Шифрование файлов.
    Шифрование файлов с использованием криптостойких алгоритмов обеспечит надёжную защиту на случай неавторизованного доступа. Пользователи Windows XP могут воспользоваться Windows Encrypted File System (EFS). Пользователи Mac OS X Tiger - FileVault. Из минусов шифрования можно отметить, что оно требует ресурсов процессора, а это может существенно замедлить работу с файлами.

Заключение

Безусловно, беспроводные сети добавляют немало удобства, но нужно с умом подходить к их защите. Если вы не сделаете защиту самостоятельно, то никто не сделает это за вас. Конечно, от профессионального хакера вы вряд ли защититесь, но значительно осложните его работу. Да и вряд ли ваша сеть будет интересна профессионалам. А вот от многочисленных любителей нашкодить вы будете защищены. Так что взвесьте все "за" и "против" и защитите свою сеть!



СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo