Jump to content

Ръководство: Как да си защитим домашната безжичната мрежа


  

64 потребители са гласували

You do not have permission to vote in this poll, or see the poll results. Please sign in or register to vote in this poll.

Препоръчан пост

Как да си защитим домашната безжичната мрежа(WLAN)

за начинаещи

 

 

Нещо като увод: Тази тема е в продължение на идеята, че въпросът за използването на безжичните технологии в бита нараства твърде бързо, а обикновеният потребител е твърде малко запознат с тях. Както винаги, една монета има две страни, добра и лоша. Удобството от използването на тази технология поставя и въпроса за безопасността на информацията при използването и.

Повечето безжични рутери или точки за достъп лесно се настройват с помощта на „магьосниците”(wizard’s), така че на потребителя просто му остава да започне да използват мрежата, без много да мисли относно сигурността. Независимо от това, необходимо е да се отделят, поне няколко минути, за да се конфигурирате функции за защита на вашия безжичен рутер или точка за достъп(АР). Доста хора въобще си нямат идея, защо и как да защитят безжичната си мрежа. ( :offtopic: Това в повечето случаи е, защото рядко някой отделя време, за да прочете инструкцията за експлоатация, а тя обикновено е "чужда" за българина...). Някои от препоръките са доста сложни за обикновения потребител, но аз винаги съм се удивлявал на любопитството на българина. :hesthebest:

 

Ето някой неща, които можете да направите, за да защитите вашата безжична мрежа:

 

1) Защитете интерфейса на вашия безжичен рутер или точка за достъп

При почти всички рутери и точки за достъп, трябва да въведете парола за достъп, за да влезете в устройството и модифицирате конфигурацията или настройките. Повечето устройства използват по подразбиране слаби пароли, като "Password" или името на производителя, а някои по подразбиране нямат парола изобщо. Веднага след настройката на нов WLAN рутер или точка за достъп, първата стъпка трябва да бъде - да смените паролата подразбиране. Може да не се налага често да използвате тази парола, затова не забравяйте да си я напишете на сигурно място. Без нея, единственият начин да се получи достъп до рутера, може да бъде, да се рестартира устройството до заводски настройките (т.е. използване на копчето Reset :crosseyes1: ), което ще унищожи всички промени в конфигурацията, които сте направили.

 

post-4138-1244175945_thumb.pngpost-4138-1244175985_thumb.jpg

D-Link

post-4138-1244175953_thumb.jpgpost-4138-1244175992_thumb.jpg

Linksys

 

2) Забранете излъчването на SSID.

Повечето WLAN точки на достъп и рутери автоматично (и непрекъснато) излъчват името на мрежата, или SSID (Service Set Identifier). Това прави изграждането на безжични мрежи изключително лесно, тъй като можете да намерите мрежата, без да знаете как е наречена, но това също ще направи вашия WLAN видим за всички безжични устройства в рамките на диапазона на достъп до нея. Изключването на предаването на SSID на вашата мрежа, я прави невидима за съседи ви (макар че те все още ще могат я да открият чрез така наречените WLAN "sniffers"). Тук трябва да кажа, че това се прави след като вече е изградена мрежата. т.е. всички устройства трябва да са се разпознали и след това да се изключи SSID на рутера. Друг вариант е чрез ръчно въвеждане на данните на рутера, което не е чак толкова практично… Ето по-долу, как се изключва SSID на някои по-известни марки рутери:

 

D-LINK

post-4138-1244017917_thumb.png

SSID Broadcast

 

 

post-4138-1244017893_thumb.png

Wireless radio

 

LINKSYS

post-4138-1244017902_thumb.png

Wireless SSID broadcast

 

NETGEAR

post-4138-1244017911_thumb.png

SSID Broadcast Enable

 

 

NB! Някои устройства не работят добре с изключено SSID, но това не означава, че не трябва да се провери дали не работи с вашия рутер.

 

3) Сменяйте си периодично SSID-то

Повечето рутери и АР имат SSID по подразбиране. Тези имена са известни и ограничен брой, което дава възможност бързо и лесно да се сканира за тях и при попадение, лесно да разпознае мрежата и нейните параметри. Първоначалната подмяна на наименованието на мрежата, а така също и редовната подмяна в комбинация със скриването на SSID-то, затруднява лесната идентификация на мрежата и последяваща атака.

post-4138-1244176015_thumb.jpg post-4138-1244176006_thumb.jpg

D-LINK____________________LINKSYS

4) Включете WPA криптиране вместо WEP

WEP (Wired Equivalency Privacy) криптирането е добре познато със слабостите, които го правят относително лесно за кракване от определени потребители със съответните устройства за разшифровка на мрежата и по този начин да получат достъп до безжична мрежа. По-добре е да се използва WPA (Wi-Fi Protected Access) защита. WPA осигурява много по-добра защита и е по-лесна за използване, още повече, че символите на вашата парола не са ограничават само до 0-9 и AF, както е при WEP. WPA е вграден в сервизен пакет SP1 на Windows XP и на практика във всички съвременни безжични хардуери и операционни системи. Последната версия, WPA2, е инсталирана на по-новите устройства и осигурява още по-силно криптиране, но ако сте с Windows XP SP1, ще трябва да си изтеглите “кръпка” за да го използвате. При SP2 тази „кръпка” е вградена в пакета.

 

5) Не забравяйте, че WEP е по-добре от нищо

Ако установите, че някои от вашите безжични устройства поддържат само WEP криптиране (това често се случва с повечето устройства като медия плейъри, PDA, и DVRs), избягвайте изкушението да прескочите криптиране изцяло, тъй като въпреки че има недостатъци, WEP е все пак е далеч по-добре от никаква защита. Ако използвате WEP, не използвайте ключ, който може лесно да се отгатне или открие. Също така, за да нямате „проблеми”, трябва по-често да сменяте ключа на WEP криптирането- поне веднъж на седмица.

 

6) Използвайте MAC филтриране за контрол на достъпа

За разлика от IP адресите, MAC адресите са уникални за мрежовите устройства, по този начин чрез включване на MAC филтриране, може да се ограничи достъпа само до вашите устройства. Не е удобно да се използва MAC филтриране, когато имате много на клиенти или ако те се сменят по-често,т.е. тя е удобна само са ограничена домашна употреба. MAC адресите могат да бъдат наподобени (spoofed) от хакерите, така че това не е гаранция за сигурността, но това е допълнителна пречка за потенциалните нарушители, която трябва да я прескочат.

 

7) Намалете мощността на вашия WLAN предавател

Трудно ще намерите тази функция при всички безжични рутери и точки за достъп, но някои дават възможност да се намали силата на сигнала на WLAN предавателя и по този начин да се намали обхвата на сигнала. Въпреки че е невъзможно да се определи точно силата на сигнала, така че да не надхвърля района на дома ви или офиса, по метода на „проба и грешка”, можете да ограничите сигнала, така че да не излиза много далеч извън помещенията, в които трябва да има достъп до мрежата, като по този начин се свежда до минимум възможността, външни лица да имат достъп до WLAN.

 

8) Деактивирайте дистанционно администриране

Повечето WLAN рутери имат възможността да бъдат управлявани от разстояние през Интернета(remote administration). В идеалния случай, трябва да използва тази функция, само ако тя ви позволява да се определи конкретен адрес или ограничен обхват от адреси, които могат да имат възможност за достъп до рутера. В противен случай, почти всеки, откъдето и да е било може да има достъп до вашия рутер. Като правило, освен ако не е абсолютно необходимо тази възможност,по-добре я изключете. (Тази функция обикновено е изключена по подразбиране, но няма да бъде зле да проверите.)

 

9) Изключете динамичното IP адресиране - преминете на статични адреси(Static IP addressing)

Изключете функцията за сървър за автоматично IP адресиране (DHCP server), който разпределя адресите на различни устройства, които се свързват към безжичния рутер.

Разпределянето на адресите може да се направи ръчно, което ще направи още по-трудно за случайни хора и "по-неопитни" хакери да влезете в мрежата. Това е особено ефективно, ако размерът на подмрежата, също е намален от стандартната настройка по подразбиране до този, която е минимално необходим (т.е. броя на устройствата в мрежата), като същевременно неизползвани IP адреси са блокирани от защитната стена. В този случай, когато неизползваните адреси са на разположение, нов потребител може да влезете без да бъде хванат използвайки TCP / IP, само ако използва специален софтуер за атака. Както при МАС филтрирането и използването на статичните IP адреси е удобно при ограничен брой клиенти или казано с други думи за домашна употреба.

 

10) Увеличете максимално междусигналните "маячни" интервала(Beacon Interval)

Стандарта 802.11 дефинира използването на така наречените “Beacon frames -проблясъци на маяк”, за да обяви наличността на безжичната мрежа. Тези сигнали се излъчват от рутера през определен период от време, за да дадат възможност за определяне на станцията(рутера) и по-лесното и свързване към мрежята. Тази функция не е достъпна на всички рутери. От друга страна не всички рутери могад да бъдат конфигурирани да не излъчват SSID. Затова поне трябва да се увеличава първоначалната дължина на интервала до максималната и стойност от 67 сек. Когато е много важен въпросът за защитата на мрежата, е желателно увеличаване на интервала между маячните сигнали. Вероятен недостатък е появата на трудности при откриване на мрежата, защото рутера е "по-тих" и SSID-то, ако се предава, се излъчва много по-рядко.

 

С тези правила не се изчерпват всички възможности за защита на безжичната ви мрежа, но иначе казано, това създава много и последователни проблеми на вероятния нарушител, което би го обезкуражило да се опитва да разбие вашата защита. Съвременните рутери имат богата гама от защитни стени и филтри, които могат да увеличат възможността за защита на мрежата при тяхното разумно и умело използване.

 

Определено трябва да бъде ясно за всички, че дори използвайки най-съвременните методи и разработки за криптиране и защита на безжичната мрежа, тя остава лесна за пробиване и несигурна. Това е една от причините повечето организации и ведомства, работещи с конфиденционална информация, категорично да забраняват изграждането и използването на безжична мрежа за предаване на данни.

 

Автор: Perkoto

Всички авторски права върху съдържанието на статията и снимковия материал са запазени. Забранено е разпространяването и/или модифицирането на статията или части от нея без изричното съгласие на автора.

Link to comment
Сподели другаде

Много добре тема! :thumbsup:

 

Като цяло Perkoto е описал основните неща доста добре и най-вече разбираемо. За съжаление само една малка част от методите за защита наистина могат да направят мрежата защитена като най-голямо влияние има криптиращият алгоритъм, използван за защита на мрежата. По мое мнение сигурност при безжичните мрежи има само тогава, когато се използва WPA/WPA2 в комбинация с наистина добър ключ. Като пример за добър ключ бих дал това:

 

k:5wC?b++*6xNC=+02lzg/Tqe(W!N2)2N_;rtD)jqJhQ@2}1,K8Hd1koLmB8QeK

 

Причините да съм на това мнение до голяма степен са базирани на личния ми опит:

 

- WPA за разлика от WEP, за да се кракне трябва дадената парола да се намира в "речника", който се ползва при атаката. Намират се наистина добри "речници", поради което е изключително важно паролата да е достатъчно сложна и да няма никаква логика в нея. Чудесен пример за такъв ключ е този, който написах малко по-горе. Шансът такъв ключ да се намира в някой "речник" е наистина минимален, което прави мрежата наистина защитена.

 

- При WPA, за да се стартира атаката е необходимо да се "хване" т.нар. handshake между клиента и точката за достъп. А въпросният handshake може да се хване само, когато потребителят(те) се свързват с мрежата. С други думи, за да се кракне WPA е необходимо да има клиент, докато WEP съвсем спокойно може да се кракне и без никакви клиенти, свързани с мрежата в момента на кракването, което допълнително улеснява кракването значително.

 

- При WPA за разлика от WEP при разбиването на паролата се използва само т.нар. bruteforce техника, защото ключът не е статичен и съответно събирането на инициализационни вектори, както е при WEP не ускорява кракването. Това прави кракването на WPA значително по-бавно, особено на по-стар хардуер, когато трябва да се обхождат големи "речници". Най-вече зависи от процесора на системата, макар че има разработки на софтуер, който чрез използването на NVIDIA CUDA технологията би ускорил значително bruteforce атаките, като се въползва от изчислителната мощ на графичните процесори в новите видеоконтролери.

 

Бих искал да коментирам част от препоръките за защита на мрежата:

 

- Смяната на подразбиращите се потребителско име и парола за достъп до рутера е напълно задължителна, защото в противен случай много лесно може да се "превземе" от атакуващия.

 

- Забраняването на SSID-то би затруднило само начинаещи хакери. Инструментът airodump от aircrack-ng suite съвсем спокойно се справя с откриването на скрити SSID-та.

 

- МАC филтрирането като цяло е хубаво нещо, но отново би затруднило само начинаещи хакери. Причината е, че съвсем лесно може да се види MAC адресът на клиента, който се връзва към мрежата и съответно да се сложи същият на мрежовия контролер, който се използа за атаката. Последното става изключително лесно под Linux, а също и голяма част от нещата, свързани с кракването на мрежи, поради което Linux е предпочитана операционна система за тая цел. Windows също може да се ползва, но там нещата са по-трудни, поради ограниченията в NDIS модела на драйверите.

 

- Намаляването на мощността на WLAN предавателя е едно от допълненията, които наистина вършат работа. Причината е, че когато се краква безжична мрежа трябва да се получават и изпращат пакети, така че атакуващият трябва да е физически близо до точката за достъп, което не винаги е напълно възможно. Чрез намаляване на силата на сигнала се увеличава необходимостта от близост между атакуващия и точката за достъп, което може да създаде затруднения за последния.

 

Останалите неща като изключване на DHCP, деактивирайте на дистанционно администриране също са полезни допълнения към защитата.

 

Може би ще е интересно да се каже какво се използва за кракване на безжични мрежи. Тъй като съм се занимавал доста със сигурност и кракване на безжични мрежи (предимно WEP защитени) мога да споделя какво използвам аз. Ползвам изработена от мен WiFi антена като сърцето ѝ е D-Link безжичен USB контролер с Ralink RT73 чип (най-важното). Въпросният чип е изключително подходящ за кракване на безжични мрежи, защото с подходящи модифицирани драйвери за Linux има много добър injection rate на пакети, което ускорява значително WEP кракването. Бих искал да кажа, че като цяло Ralink не са особено добри чипове на фона на останалите, но специално този модел е много добър и затова съм се спрял на него. Софтуертът, който използвам е aircrack-ng suite като той е включен в Back Track (преди се наричиаше Auditor) дистрибуцията, която е специално предназначена за подобни дейности общо взето. Аircrack се състой основно от инструментите: aircrack, airodump и aireplay.

Link to comment
Сподели другаде

Напълно съм съгласен с l.kanelov!

Много ти благодаря за подкрепата! :hesthebest:

 

1. В темата се опитах да обявя по-важните и лесни за изпълнение мерки за защита на мрежата, като не затруднявам потребителите с много теоретични обяснения.

2. Опитвам се да спазвам основното правило на сайта ни - да не се поощряват хакерите!!! :svlove: Човек, колкото повече знае, усеща, че повече трябва да си държи езика зад зъбите, за да си няма проблеми.... :crosseyes1:

3. Вярно е, че използването на сигурен ключ е важно условие за увеличаване на сигурността на мрежата. Но личният ми опит и статистическите данни сочат, че основния проблем не е в големината и трудността на ключа, а изобщо в използването на някаква система за защита на мрежата на обикновения потребител. Просто един елементарен пример: Аз лично живея в "едно" ЖК и около мен има около 10-15 видими домашни мрежи. От тях 30% са без защита.... Направете си извода!

4. Повечето от предложените мерки имат повече "демонстративен" ефект, отколкото защитен, но както вече казах въпросът с разбиването на безжична мрежа е не - може или не може, а кога!!! В повечето случаи ценността на информацията се определя от параметърът "време". Теоретично, всяка мрежа, която има индукционно влияние и излъчване и може да бъде подложена на "хакване". Затова и при изграждане на "сигурни" мрежи се използват системи с минимизиране на интерферентното действие- използва се оптичната технология, не само до рутер, а до машина... От друга страна не е необходимо непременно да се влиза в мрежата, за да се счита същата за компроментирана, просто стига тя да бъда подслушвана. Така че, за да се определят или оценят мерките за защита на мрежата е необходимо да се направи експертна оценка на степента на риска от въздействие върху нея и степента на важност на информацията.

 

Вярно е, че темата може да бъде допълнена с още предложения за увеличаване на защитата, като: постоянен мониторинг(аудит) на състоянието на мрежата чрез независим източник, , използване на EAS и протокола RADIUS (Remote Authentication Dial In User Service), използване на специален софтуер за допълнително шифриране на сигнала, откриване, локализиране и блокиране на неоторизираните точки за връзка, но нещата излизат извън основната идея на темата... :hesthebest:

Link to comment
Сподели другаде

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...