Прехвърляне към съдържание


Снимка

Ръководство: Как да си защитим домашната безжичната мрежа


  • Моля, влезте, за да отговорите
3 отговора по тази тема

Анкета: Ръководство: Как да си защитим домашната безжичната мрежа

Какъв метод на защита на домашната си безжична мрежа използвате и защо?

Не можете да видите резултатите от анкетата, преди да сте гласували. Моля, влезте и гласувайте, за да видите резултатите.
Гласуване Гостите не могат да гласуват

#1 Perkoto

Perkoto

    Le Sage

  • Автори
  • ПипПипПипПипПипПип
  • 442 мнения
  • Пол:Мъж
  • Живущ в:Хубаво е понякога в София
  • Интереси:Коли, компютри и хубава бира, ама хубава...

Публикувано: 03 June 2009 - 11:25

Как да си защитим домашната безжичната мрежа(WLAN)


за начинаещи




Нещо като увод: Тази тема е в продължение на идеята, че въпросът за използването на безжичните технологии в бита нараства твърде бързо, а обикновеният потребител е твърде малко запознат с тях. Както винаги, една монета има две страни, добра и лоша. Удобството от използването на тази технология поставя и въпроса за безопасността на информацията при използването и.
Повечето безжични рутери или точки за достъп лесно се настройват с помощта на „магьосниците”(wizard’s), така че на потребителя просто му остава да започне да използват мрежата, без много да мисли относно сигурността. Независимо от това, необходимо е да се отделят, поне няколко минути, за да се конфигурирате функции за защита на вашия безжичен рутер или точка за достъп(АР). Доста хора въобще си нямат идея, защо и как да защитят безжичната си мрежа. ( :offtopic: Това в повечето случаи е, защото рядко някой отделя време, за да прочете инструкцията за експлоатация, а тя обикновено е "чужда" за българина...). Някои от препоръките са доста сложни за обикновения потребител, но аз винаги съм се удивлявал на любопитството на българина. :hesthebest:

Ето някой неща, които можете да направите, за да защитите вашата безжична мрежа:

1) Защитете интерфейса на вашия безжичен рутер или точка за достъп
При почти всички рутери и точки за достъп, трябва да въведете парола за достъп, за да влезете в устройството и модифицирате конфигурацията или настройките. Повечето устройства използват по подразбиране слаби пароли, като "Password" или името на производителя, а някои по подразбиране нямат парола изобщо. Веднага след настройката на нов WLAN рутер или точка за достъп, първата стъпка трябва да бъде - да смените паролата подразбиране. Може да не се налага често да използвате тази парола, затова не забравяйте да си я напишете на сигурно място. Без нея, единственият начин да се получи достъп до рутера, може да бъде, да се рестартира устройството до заводски настройките (т.е. използване на копчето Reset :crosseyes1: ), което ще унищожи всички промени в конфигурацията, които сте направили.

Прикрепен файл  d_link_password.png   190.27К   283 Брой изтеглянияПрикрепен файл  routerpassword_dlink.jpg   52.49К   249 Брой изтегляния
D-Link
Прикрепен файл  linksys_password_screen.jpg   34.74К   209 Брой изтеглянияПрикрепен файл  routerpassword_linksys.jpg   44.02К   202 Брой изтегляния
Linksys

2) Забранете излъчването на SSID.
Повечето WLAN точки на достъп и рутери автоматично (и непрекъснато) излъчват името на мрежата, или SSID (Service Set Identifier). Това прави изграждането на безжични мрежи изключително лесно, тъй като можете да намерите мрежата, без да знаете как е наречена, но това също ще направи вашия WLAN видим за всички безжични устройства в рамките на диапазона на достъп до нея. Изключването на предаването на SSID на вашата мрежа, я прави невидима за съседи ви (макар че те все още ще могат я да открият чрез така наречените WLAN "sniffers"). Тук трябва да кажа, че това се прави след като вече е изградена мрежата. т.е. всички устройства трябва да са се разпознали и след това да се изключи SSID на рутера. Друг вариант е чрез ръчно въвеждане на данните на рутера, което не е чак толкова практично… Ето по-долу, как се изключва SSID на някои по-известни марки рутери:

D-LINK
Прикрепен файл  NO_SSID_DI_524.PNG   53.03К   261 Брой изтегляния
SSID Broadcast


Прикрепен файл  disable_ssid_D_link.png   135.21К   195 Брой изтегляния
Wireless radio

LINKSYS
Прикрепен файл  linksys_ssid_disable.png   84.16К   174 Брой изтегляния
Wireless SSID broadcast

NETGEAR
Прикрепен файл  netgear_ssid_disable.png   159.81К   159 Брой изтегляния
SSID Broadcast Enable


NB! Някои устройства не работят добре с изключено SSID, но това не означава, че не трябва да се провери дали не работи с вашия рутер.

3) Сменяйте си периодично SSID-то
Повечето рутери и АР имат SSID по подразбиране. Тези имена са известни и ограничен брой, което дава възможност бързо и лесно да се сканира за тях и при попадение, лесно да разпознае мрежата и нейните параметри. Първоначалната подмяна на наименованието на мрежата, а така също и редовната подмяна в комбинация със скриването на SSID-то, затруднява лесната идентификация на мрежата и последяваща атака.
Прикрепен файл  ssid_dlink.jpg   54.34К   138 Брой изтегляния Прикрепен файл  setuppage_linksys.jpg   44.68К   117 Брой изтегляния
D-LINK____________________LINKSYS
4) Включете WPA криптиране вместо WEP
WEP (Wired Equivalency Privacy) криптирането е добре познато със слабостите, които го правят относително лесно за кракване от определени потребители със съответните устройства за разшифровка на мрежата и по този начин да получат достъп до безжична мрежа. По-добре е да се използва WPA (Wi-Fi Protected Access) защита. WPA осигурява много по-добра защита и е по-лесна за използване, още повече, че символите на вашата парола не са ограничават само до 0-9 и AF, както е при WEP. WPA е вграден в сервизен пакет SP1 на Windows XP и на практика във всички съвременни безжични хардуери и операционни системи. Последната версия, WPA2, е инсталирана на по-новите устройства и осигурява още по-силно криптиране, но ако сте с Windows XP SP1, ще трябва да си изтеглите “кръпка” за да го използвате. При SP2 тази „кръпка” е вградена в пакета.

5) Не забравяйте, че WEP е по-добре от нищо
Ако установите, че някои от вашите безжични устройства поддържат само WEP криптиране (това често се случва с повечето устройства като медия плейъри, PDA, и DVRs), избягвайте изкушението да прескочите криптиране изцяло, тъй като въпреки че има недостатъци, WEP е все пак е далеч по-добре от никаква защита. Ако използвате WEP, не използвайте ключ, който може лесно да се отгатне или открие. Също така, за да нямате „проблеми”, трябва по-често да сменяте ключа на WEP криптирането- поне веднъж на седмица.

6) Използвайте MAC филтриране за контрол на достъпа
За разлика от IP адресите, MAC адресите са уникални за мрежовите устройства, по този начин чрез включване на MAC филтриране, може да се ограничи достъпа само до вашите устройства. Не е удобно да се използва MAC филтриране, когато имате много на клиенти или ако те се сменят по-често,т.е. тя е удобна само са ограничена домашна употреба. MAC адресите могат да бъдат наподобени (spoofed) от хакерите, така че това не е гаранция за сигурността, но това е допълнителна пречка за потенциалните нарушители, която трябва да я прескочат.

7) Намалете мощността на вашия WLAN предавател
Трудно ще намерите тази функция при всички безжични рутери и точки за достъп, но някои дават възможност да се намали силата на сигнала на WLAN предавателя и по този начин да се намали обхвата на сигнала. Въпреки че е невъзможно да се определи точно силата на сигнала, така че да не надхвърля района на дома ви или офиса, по метода на „проба и грешка”, можете да ограничите сигнала, така че да не излиза много далеч извън помещенията, в които трябва да има достъп до мрежата, като по този начин се свежда до минимум възможността, външни лица да имат достъп до WLAN.

8) Деактивирайте дистанционно администриране
Повечето WLAN рутери имат възможността да бъдат управлявани от разстояние през Интернета(remote administration). В идеалния случай, трябва да използва тази функция, само ако тя ви позволява да се определи конкретен адрес или ограничен обхват от адреси, които могат да имат възможност за достъп до рутера. В противен случай, почти всеки, откъдето и да е било може да има достъп до вашия рутер. Като правило, освен ако не е абсолютно необходимо тази възможност,по-добре я изключете. (Тази функция обикновено е изключена по подразбиране, но няма да бъде зле да проверите.)

9) Изключете динамичното IP адресиране - преминете на статични адреси(Static IP addressing)
Изключете функцията за сървър за автоматично IP адресиране (DHCP server), който разпределя адресите на различни устройства, които се свързват към безжичния рутер.
Разпределянето на адресите може да се направи ръчно, което ще направи още по-трудно за случайни хора и "по-неопитни" хакери да влезете в мрежата. Това е особено ефективно, ако размерът на подмрежата, също е намален от стандартната настройка по подразбиране до този, която е минимално необходим (т.е. броя на устройствата в мрежата), като същевременно неизползвани IP адреси са блокирани от защитната стена. В този случай, когато неизползваните адреси са на разположение, нов потребител може да влезете без да бъде хванат използвайки TCP / IP, само ако използва специален софтуер за атака. Както при МАС филтрирането и използването на статичните IP адреси е удобно при ограничен брой клиенти или казано с други думи за домашна употреба.

10) Увеличете максимално междусигналните "маячни" интервала(Beacon Interval)
Стандарта 802.11 дефинира използването на така наречените “Beacon frames -проблясъци на маяк”, за да обяви наличността на безжичната мрежа. Тези сигнали се излъчват от рутера през определен период от време, за да дадат възможност за определяне на станцията(рутера) и по-лесното и свързване към мрежята. Тази функция не е достъпна на всички рутери. От друга страна не всички рутери могад да бъдат конфигурирани да не излъчват SSID. Затова поне трябва да се увеличава първоначалната дължина на интервала до максималната и стойност от 67 сек. Когато е много важен въпросът за защитата на мрежата, е желателно увеличаване на интервала между маячните сигнали. Вероятен недостатък е появата на трудности при откриване на мрежата, защото рутера е "по-тих" и SSID-то, ако се предава, се излъчва много по-рядко.

С тези правила не се изчерпват всички възможности за защита на безжичната ви мрежа, но иначе казано, това създава много и последователни проблеми на вероятния нарушител, което би го обезкуражило да се опитва да разбие вашата защита. Съвременните рутери имат богата гама от защитни стени и филтри, които могат да увеличат възможността за защита на мрежата при тяхното разумно и умело използване.

Определено трябва да бъде ясно за всички, че дори използвайки най-съвременните методи и разработки за криптиране и защита на безжичната мрежа, тя остава лесна за пробиване и несигурна. Това е една от причините повечето организации и ведомства, работещи с конфиденционална информация, категорично да забраняват изграждането и използването на безжична мрежа за предаване на данни.

Автор: Perkoto
Всички авторски права върху съдържанието на статията и снимковия материал са запазени. Забранено е разпространяването и/или модифицирането на статията или части от нея без изричното съгласие на автора.
The trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it.
Terry Pratchett

#2 l.kanelov

l.kanelov

    /arch:AVX2

  • Глобални модератори
  • ПипПипПипПипПипПип
  • 1606 мнения
  • Пол:Мъж

Публикувано: 04 June 2009 - 18:15

Много добре тема! :thumbsup:

Като цяло Perkoto е описал основните неща доста добре и най-вече разбираемо. За съжаление само една малка част от методите за защита наистина могат да направят мрежата защитена като най-голямо влияние има криптиращият алгоритъм, използван за защита на мрежата. По мое мнение сигурност при безжичните мрежи има само тогава, когато се използва WPA/WPA2 в комбинация с наистина добър ключ. Като пример за добър ключ бих дал това:

k:5wC?b++*6xNC=+02lzg/Tqe(W!N2)2N_;rtD)jqJhQ@2}1,K8Hd1koLmB8QeK

Причините да съм на това мнение до голяма степен са базирани на личния ми опит:

- WPA за разлика от WEP, за да се кракне трябва дадената парола да се намира в "речника", който се ползва при атаката. Намират се наистина добри "речници", поради което е изключително важно паролата да е достатъчно сложна и да няма никаква логика в нея. Чудесен пример за такъв ключ е този, който написах малко по-горе. Шансът такъв ключ да се намира в някой "речник" е наистина минимален, което прави мрежата наистина защитена.

- При WPA, за да се стартира атаката е необходимо да се "хване" т.нар. handshake между клиента и точката за достъп. А въпросният handshake може да се хване само, когато потребителят(те) се свързват с мрежата. С други думи, за да се кракне WPA е необходимо да има клиент, докато WEP съвсем спокойно може да се кракне и без никакви клиенти, свързани с мрежата в момента на кракването, което допълнително улеснява кракването значително.

- При WPA за разлика от WEP при разбиването на паролата се използва само т.нар. bruteforce техника, защото ключът не е статичен и съответно събирането на инициализационни вектори, както е при WEP не ускорява кракването. Това прави кракването на WPA значително по-бавно, особено на по-стар хардуер, когато трябва да се обхождат големи "речници". Най-вече зависи от процесора на системата, макар че има разработки на софтуер, който чрез използването на NVIDIA CUDA технологията би ускорил значително bruteforce атаките, като се въползва от изчислителната мощ на графичните процесори в новите видеоконтролери.

Бих искал да коментирам част от препоръките за защита на мрежата:

- Смяната на подразбиращите се потребителско име и парола за достъп до рутера е напълно задължителна, защото в противен случай много лесно може да се "превземе" от атакуващия.

- Забраняването на SSID-то би затруднило само начинаещи хакери. Инструментът airodump от aircrack-ng suite съвсем спокойно се справя с откриването на скрити SSID-та.

- МАC филтрирането като цяло е хубаво нещо, но отново би затруднило само начинаещи хакери. Причината е, че съвсем лесно може да се види MAC адресът на клиента, който се връзва към мрежата и съответно да се сложи същият на мрежовия контролер, който се използа за атаката. Последното става изключително лесно под Linux, а също и голяма част от нещата, свързани с кракването на мрежи, поради което Linux е предпочитана операционна система за тая цел. Windows също може да се ползва, но там нещата са по-трудни, поради ограниченията в NDIS модела на драйверите.

- Намаляването на мощността на WLAN предавателя е едно от допълненията, които наистина вършат работа. Причината е, че когато се краква безжична мрежа трябва да се получават и изпращат пакети, така че атакуващият трябва да е физически близо до точката за достъп, което не винаги е напълно възможно. Чрез намаляване на силата на сигнала се увеличава необходимостта от близост между атакуващия и точката за достъп, което може да създаде затруднения за последния.

Останалите неща като изключване на DHCP, деактивирайте на дистанционно администриране също са полезни допълнения към защитата.

Може би ще е интересно да се каже какво се използва за кракване на безжични мрежи. Тъй като съм се занимавал доста със сигурност и кракване на безжични мрежи (предимно WEP защитени) мога да споделя какво използвам аз. Ползвам изработена от мен WiFi антена като сърцето ѝ е D-Link безжичен USB контролер с Ralink RT73 чип (най-важното). Въпросният чип е изключително подходящ за кракване на безжични мрежи, защото с подходящи модифицирани драйвери за Linux има много добър injection rate на пакети, което ускорява значително WEP кракването. Бих искал да кажа, че като цяло Ralink не са особено добри чипове на фона на останалите, но специално този модел е много добър и затова съм се спрял на него. Софтуертът, който използвам е aircrack-ng suite като той е включен в Back Track (преди се наричиаше Auditor) дистрибуцията, която е специално предназначена за подобни дейности общо взето. Аircrack се състой основно от инструментите: aircrack, airodump и aireplay.

#3 Perkoto

Perkoto

    Le Sage

  • Автори
  • ПипПипПипПипПипПип
  • 442 мнения
  • Пол:Мъж
  • Живущ в:Хубаво е понякога в София
  • Интереси:Коли, компютри и хубава бира, ама хубава...

Публикувано: 05 June 2009 - 07:43

Напълно съм съгласен с l.kanelov!
Много ти благодаря за подкрепата! :hesthebest:

1. В темата се опитах да обявя по-важните и лесни за изпълнение мерки за защита на мрежата, като не затруднявам потребителите с много теоретични обяснения.
2. Опитвам се да спазвам основното правило на сайта ни - да не се поощряват хакерите!!! :svlove: Човек, колкото повече знае, усеща, че повече трябва да си държи езика зад зъбите, за да си няма проблеми.... :crosseyes1:
3. Вярно е, че използването на сигурен ключ е важно условие за увеличаване на сигурността на мрежата. Но личният ми опит и статистическите данни сочат, че основния проблем не е в големината и трудността на ключа, а изобщо в използването на някаква система за защита на мрежата на обикновения потребител. Просто един елементарен пример: Аз лично живея в "едно" ЖК и около мен има около 10-15 видими домашни мрежи. От тях 30% са без защита.... Направете си извода!
4. Повечето от предложените мерки имат повече "демонстративен" ефект, отколкото защитен, но както вече казах въпросът с разбиването на безжична мрежа е не - може или не може, а кога!!! В повечето случаи ценността на информацията се определя от параметърът "време". Теоретично, всяка мрежа, която има индукционно влияние и излъчване и може да бъде подложена на "хакване". Затова и при изграждане на "сигурни" мрежи се използват системи с минимизиране на интерферентното действие- използва се оптичната технология, не само до рутер, а до машина... От друга страна не е необходимо непременно да се влиза в мрежата, за да се счита същата за компроментирана, просто стига тя да бъда подслушвана. Така че, за да се определят или оценят мерките за защита на мрежата е необходимо да се направи експертна оценка на степента на риска от въздействие върху нея и степента на важност на информацията.

Вярно е, че темата може да бъде допълнена с още предложения за увеличаване на защитата, като: постоянен мониторинг(аудит) на състоянието на мрежата чрез независим източник, , използване на EAS и протокола RADIUS (Remote Authentication Dial In User Service), използване на специален софтуер за допълнително шифриране на сигнала, откриване, локализиране и блокиране на неоторизираните точки за връзка, но нещата излизат извън основната идея на темата... :hesthebest:
The trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it.
Terry Pratchett

#4 B-boy/StyLe/

B-boy/StyLe/

    FFreestyleRR

  • Глобални модератори
  • ПипПипПипПипПипПип
  • 1489 мнения
  • Пол:Мъж
  • Живущ в:Electric City

Публикувано: 05 June 2009 - 14:13

Интересна тема - браво ! :)

Няколко материала в тази насока:

12 лесни начина да направите работата в безжична мрежа по-безопасна и по-забавна

Направете си по-сигурна безжична връзка

20 прости начина за „кръгова отбрана” на РС-то в мрежата

Безжичната мрежа в офиса – как да я стартираме и защитим




0 потребители четат тази тема

0 регистрирани потребители, 0 гости и 0 анонимни потребители