«Защита беспроводных сетей»
Защита в сетях Wi-Fi
Защита беспроводной сети
Министерство образования и науки Российской Федерации. У беспроводных сетей очень много общего с проводными, но есть и различия. Для того, чтобы проникнуть в проводную сеть, хакеру необходимо физически к ней подключиться. В варианте Wi-Fi ему достаточно установить антенну в ближайшей подворотне в зоне действия сети. Хотя сегодня в защите Wi-Fi-сетей и применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи, тем не менее, на начальных этапах распространения Wi-Fi нередко появлялись сообщения о том, что даже не используя сложного оборудования и специальных программ можно было подключиться к некоторым корпоративным сетям просто проезжая мимо с ноутбуком. Якобы у них даже была своя условная система знаков, которые рисовались на тротуаре и указывали незащищенные должным образом точки доступа. Возможно, так и было, лишь вместо банок из-под чипсов использовались мощные антенны, а условные знаки обозначались на карте, связанной с системой глобального позиционирования GPS. Данная курсовая работа посвящена защите беспроводных сетей. В ней я хочу рассказать, как можно защитить беспроводную сеть. Для того чтобы правильно спланировать безопасность беспроводной сети или проводной нужно учитывать стоимость защищаемых ценностей, стоимость внедрения системы безопасности, а также способности потенциальных атакующих. Другими словами, прежде чем внедрять все меры защиты, известные человечеству, разумнее и дешевле внедрить меры защиты от наиболее частых угроз. Например, беспроводные сети, расположенные в городах, обычно подвергаются атакам чаще, чем сети, расположенные в малонаселённой местности. За день в городе через вашу сеть могут пройти десятки и даже сотни посетителей. Кроме того, злоумышленники могут оставаться незамеченными, находясь в машине, припаркованной неподалёку. С другой стороны, точка доступа, расположенная в доме посередине деревни, вряд ли когда-нибудь увидит чужого посетителя, да и знакомый транспорт будет сразу же заметен. Для некоторых пользователей настройка безопасности беспроводных сетей кажется сложной, они надеются на "авось пронесёт" и оставляют свою сеть абсолютно открытой, то есть незащищённой. Также люди иногда задаются вопросом, что если они используют сеть только для просмотра интернет страниц и на компьютерах нет секретной информации, то зачем им защищать свою сеть? На этот вопрос есть хороший ответ. В году вышел первый стандарт IEEE Простой пароль SSID Server Set ID для доступа в локальную сеть по современным меркам нельзя считать защитой, особенно, учитывая факт, что к Wi-Fi не нужно физически подключаться. Главной же защитой долгое время являлось использование цифровых ключей шифрования потоков данных с помощью функции Wired Equivalent Privacy WEP. Сами ключи представляют из себя обыкновенные пароли с длиной от 5 до 13 символов ASCII, что соответствует 40 или разрядному шифрованию на статическом уровне. Как показало время, WEP оказалась не самой надёжной технологией защиты. И, кстати, все основные атаки хакеров пришлись как раз-таки на эпоху внедрения WEP. После года для проводных и беспроводных сетей был внедрён новый стандарт IEEE Таким образом, пользователи сети работают сеансами, по завершении которых им присылается новый ключ. Например, Windows ХР поддерживает данный стандарт, и по умолчанию время одного сеанса равно 30 минутам. В конце года был внедрён стандарт Wi-Fi Protected Access WPA , который совмещает преимущества динамического обновления ключей IEEE Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков, в частности, в данном направлении преуспевают Intel и Cisco. В году появляется WPА2, или Опасности которым подвержена незащищенная беспроводная сеть. Когда кто-то подключается к вашей беспроводной сети, он ничем не отличается от пользователя, подсоединившегося к проводному коммутатору вашей сети. Если вы никак не ограничиваете доступ к общим ресурсам, то незваные гости могут делать всё то же самое, что и известные пользователи. Они могут копировать изменять или даже полностью удалять файлы, каталоги и даже целые диски. Или даже хуже - запускать перехватчики нажатий клавиатуры, "трояны" или другие вредоносные программы, которые будут работать на неизвестных хозяев. Имея при себе нужные инструменты, можно в режиме реального времени про сматривать посещаемые вами web-страницы, адреса сайтов и, что хуже, перехватывать ваши пароли для дальнейшего использования, чаще всего в корыстных целях. Если открытая беспроводная сеть будет использоваться для нелегального распространения фильмов или музыки, то во многих странах за это можно поплатиться иском со стороны правоохранительных органов. Если же канал использовался для передачи на внешний ресурс чего-то более противозаконного, например детской порнографии, или же такой сервер появился внутри сети, проблемы могут быть гораздо более серьёзными. Кроме того, каналом могут воспользоваться спамеры, любители атак DOS и распространители вредоносного ПО, вирусов, да и многие другие. Вполне разумно раздавать доступ в Интернет всем вашим гостям. Но до тех пор, пока вы не обеспечите серьёзную защиту беспроводной сети, вы рискуете. Далее в данной курсовой я рассмотрю меры по защите беспроводной сети в соответствии с предполагаемым уровнем умений незваных гостей. Мы приведём способы для защиты от хакеров разного уровня подготовки. Простота использования чаще упоминается в контексте беспроводных сетевых решений как огромный плюс, однако это палка о двух концах. Во многих случаях, включив компьютер с поддержкой беспроводной сети, пользователь автоматически подключается к точке доступа или видит её в списке доступных. Ниже приведены меры, которые позволят защитить сеть от случайных посетителей, но ничуть не затруднят доступ к ней более умелым взломщикам. Все меры упорядочены в списке по важности. Большинство из них настолько просты, что их рекомендуется реализовать их все, если позволяет оборудование. Измените пароль администратора и имя пользователя, если можно и идентификатор SSID имя сети на точке доступа. Как правило, учётные данные администратора, установленные по умолчанию, открыты и доступны для большинства беспроводного оборудования. Поэтому, не заменив их, вы рискуете однажды получить отказ при входе в систему и лишиться возможности управления беспроводной сетью до тех пор, пока не сбросите все настройки! Изменить SSID особенно необходимо в том случае, если вы работаете по соседству с другими точками доступа. Если соседние точки доступа окажутся того же производителя, то они имеют тот же SSID по умолчанию, и клиенты, что вполне вероятно, смогут неосознанно подключиться к вашей ТД, а не к своей. Для нового SSID не следует использовать личную информацию! Во время вардрайвинга удавалось заметить следующие SSID:. В принципе, если рядом есть несколько точек доступа, то имеет смысл изменить и канал, чтобы избежать взаимных помех. Однако эта мера не особо повлияет на защищённость, поскольку клиенты чаще всего просматривают все доступные каналы. Использование на точке доступа последней версии программного обеспечения также повышает безопасность. В новой прошивке обычно исправлены обнаруженные ошибки, а иногда и добавлены новые возможности защиты. У некоторых новых моделей точек доступа для обновления достаточно пару раз щёлкнуть кнопкой мыши. Точки доступа, выпущенные несколько лет назад, часто уже не поддерживаются производителями, то есть новых прошивок ожидать не стоит. Если же прошивка вашей точки доступа не поддерживает даже WP A Wi-Fi Protected Access , не говоря о WPA2 , то следует всерьёз задуматься о её замене. То же самое касается адаптеров! В принципе, всё продаваемое сегодня оборудование Однако производители не всегда торопятся с обновлением старых продуктов. Большинство точек доступа позволяют отключить широковещание SSID, что может обвести вокруг пальца некоторые утилиты вроде NetstumbIer. Кроме того, скрытие SSID блокирует обнаружение вашей сети средствами встроенной утилиты настройки беспроводной сети Windows ХР Wireless Zero Configuration и других клиентских приложений. Отключение широковещания SSID не обезопасит вас от взломщиков, использующих такие средства, как Kismet или АirМаgпеt. Они определяют наличие беспроводной сети независимо от SSID. Часто пользователи пропускают мимо внимания самый простой способ защиты - выключение точки доступа. Раз нет беспроводной сети, то нет и проблем. Простейший таймер может отключать точку доступа, например, на ночь, пока вы ей не пользуетесь. Если для беспроводной сети и для доступа в Интернет вы используете один и тот же беспроводной маршрутизатор, то при этом соединение с Интернетом тоже не будет работать - вполне неплохо. Если же вы не хотите отключать соединение с Интернетом, тогда можно отключать радиомодуль маршрутизатора вручную, если он это позволяет. Такой способ недостаточно надёжен, поскольку он зависит от "человеческого фактора" - можно просто забыть об отключении. Возможно, производители когда-нибудь добавят функцию отключения радиомодуля по расписанию. Фильтрация по MAC-адресам используется для того, чтобы доступ к сети могли получить или, наоборот, не получить только те компьютеры, чьи адреса указаны в списке. Фильтрация защитит вашу сеть от новичков, но более опытные хакеры могут легко перехватить MAC-адреса и подменить свой адрес на один из разрешённых. Фильтрация MAC -адресов на точке доступа USR Лишь некоторые потребительские точки доступа имеют эту функцию, однако снижение мощности передачи позволит ограничить количество как преднамеренных, так и случайных неавторизованных подключений. Впрочем, чувствительность доступных массовому пользователю беспроводных адаптеров постоянно растёт, так что вряд ли стоит озадачиваться этим способом, особенно если вы это делаете исключительно из-за безопасности в многоквартирном доме. Опытные хакеры обычно используют мощные направленные антенны, что позволяет им обнаруживать даже очень слабый сигнал и сводит существенность этого пункта к нулю. Перейдём к более опытным пользователям, которые специально бродят по окрестностям в поисках беспроводных сетей. Некоторые занимаются этим просто из интереса, пытаясь обнаружить, сколько сетей находится рядом. Они никогда не пытаются использовать уязвимые сети. Но есть и менее доброжелательные хакеры, которые подключаются и используют сети, а иногда даже доставляют владельцам неудобства. Все принятые меры нулевого уровня не спасут от взломщиков первого уровня, и незваный гость может проникнуть в сеть. От него можно защититься, используя шифрование и аутентификацию. С аутентификацией будем разбираться немного позже, пока же остановимся на шифровании. Одно из возможных решений - пропускать весь беспроводной трафик через туннель VPN Virtual Private Network - виртуальная частная сеть. Владельцам беспроводных сетей следует использовать самый надёжный из доступных методов шифрования. Конечно, здесь всё зависит от оборудования, но, так или иначе, обычно можно выбрать WБР, WPA или WPА2. WEP Wired Equivalent Privacy - безопасность, эквивалентная проводной сети является наиболее слабым протоколом, но на текущее время он наиболее широко распространён и поддерживается практически всем оборудованием Возможно, придётся остановиться на использовании этой технологии и потому, что не все производители беспроводного оборудования выпустили обновления прошивки с поддержкой WPA для оборудования Таким образом, приходится искусственно снижать безопасность сети из-за того, что не всё оборудование поддерживает более новые технологии. Как WPA Wi-Fi Protected Access , так и WPA2 обеспечивают хорошую защиту беспроводной сети, что достигается благодаря более стойкому алгоритму шифрования и улучшенному алгоритму управления ключами. Основное отличие между ними состоит в том, что WPА2 поддерживает более стойкое шифрование AES Advanced Encryption Standard. Однако, ряд продуктов, поддерживающих WPA , тоже позволяют использовать алгоритм шифрования AES вместо стандартного TKIP. Что касается обновления старых продуктов до WPА2, то многие прошивки до сих пор находятся в состоянии разработки, несмотря на то, что стандарт Мы рекомендуем, по меньшей мере, использовать WPA. Его эффективность сопоставима с WPА2, и, как мы уже писали, стандарт поддерживается большим количеством оборудования. Конечно, внедрение WPA может потребовать покупки нового оборудования, особенно, если вы используете Однако оборудование 11g стоит сегодня относительно недорого и сможет оправдать себя. Большинство потребительских точек доступа WPA и WPА2 поддерживают только режим с общим паролем WPA-PSK Pre-Shared Кеу Рис. WPA2 или WPA "Enterprise" он же WPA "RADIUS" также поддерживается в некотором оборудовании, однако его использование требует наличия сервера RADIUS. Для большинства частных беспроводных сетей использование WPA-PSK обеспечит вполне достаточную защиту, но только при выборе относительно длинного и сложного пароля. Не следует использовать только цифры или слова из словаря, поскольку такие программы, как cowpatty , позволяют проводить словарные атаки против WPA-РSK. Роберт Москович Robert Moskowitz , старший технический директор ICSA Labs, в своей статье рекомендовал использовать битное шифрование PSK. К счастью, все реализации WPA позволяют использовать цифробуквенные пароли, то есть для выполнения рекомендация Московича достаточно 16 символов. В Интернете можно найти множество генераторов паролей, стоит лишь воспользоваться поисковой системой. И, наконец, некоторые производители. Linksys недавно начала производство и продажу оборудования с поддержкой подобной технологии SecureEasySetup от Broadcom. WPA и WPА2 закрывают большинство проблем, которые есть у WEP, но они всё же остаются уязвимыми, особенно в варианте PSK. Взлом WPA и WPА2 с паролем более сложен и требует больших затрат, особенно при использовании шифрования AES, но всё же возможен. Для защиты от этой угрозы следует внедрять аутентификацию. Аутентификация добавляет ещё один уровень безопасности, требуя, чтобы компьютер клиента зарегистрировался в сети. Настройка аутентификации может оказаться затруднительной и дорогой задачей даже для профессионалов, не говоря об обычных пользователях. На нынешней конференции RSA в Сан-Франциско, например, многие посетители решили не настраивать безопасность беспроводных подключений только из-за того, что руководство занимало целую страницу! К счастью, ситуация постоянно улучшается, уже не нужно покупать полноценный сервер RADIUS , поскольку появилось множество простых в установке альтернативных решений. Подобный продукт от Wireless Security Corporation недавно приобретённой McAfee носит название WSC Guard. Следующее решение больше подходит для опытных "сетевиков" - TinyPEAP является прошивкой с сервером RАDПJS, который поддерживает аутентификацию РЕАР на беспроводных маршрутизаторах Linksys WRT 54 G и GS. Отмечу, что прошивка официально не поддерживается Linksys, так что установка выполняется на свой страх и риск. До этого момента защита сводил ась к тому, чтобы не дать злоумышленнику подключиться к вашей сети. Но что делать, если, несмотря на все усилия. Существуют системы обнаружения и предотвращения атак для проводных и беспроводных сетей, однако они нацелены на корпоративный уровень и имеют соответствующую стоимость. Также можно найти и решения, основанные на открытом исходном коде, но они, к сожалению, не совсем понятны для новичков. За многие годы существования проводных сетей были выработаны основные принципы безопасности, которые можно при менять и к беспроводным сетям. Они позволят защититься от вторжения злоумышленника. Любой сервер, любой общий ресурс, панель управления маршрутизатором и т. Хотя внедрить на уровне пользователей настоящую аутентификацию без соответствующего сервера невозможно. Как минимум, следует установить пароли на все общие ресурсы и отключить гостевую учётную запись, если вы используете Windows ХР. И никогда не предоставляйте в общее пользование целые разделы! Компьютер, не подключённый к сети, защищён от сетевых атак. Однако есть и другие способы ограничения доступа. Несколько правильно настроенных недорогих маршрутизаторов NAT могут послужить прекрасной основой для создания защищённых сегментов LAN, с возможностью доступа из них в Интернет. Подробнее об этом читайте здесь. Коммутаторы или маршрутизаторы с поддержкой VLAN помогут также с разделением сети. Впрочем, функции VLAN есть на большинстве управляемых коммутаторов, однако они практически не встречаются в недорогих маршрутизаторах и неуправляемых коммутаторах. Как минимум, нужно использовать обновлённые антивирусные решения и регулярно обновлять базы. Персональные брандмауэры, такие как ZoneAlarm, BlackICE и другие оповестят о подозрительной сетевой активности. Шифрование файлов с использованием криптостойких алгоритмов обеспечит надёжную защиту на случай неавторизованного доступа. Пользователи Windows ХР могут воспользоваться Windows Encrypted FiIe System EFS. Пользователи Мас OS Х Tiger - FileVault. Из минусов шифрования можно отметить, что оно требует ресурсов процессора, а это может существенно замедлить работу с файлами. Безусловно, беспроводные сети добавляют немало удобства, но нужно с умом подходить к их защите. Если вы не сделаете защиту самостоятельно, то никто не сделает это за вас. Конечно, от профессионального хакера вы вряд ли защититесь, но значительно осложните его работу. Да и вряд ли ваша сеть будет интересна профессионалам. Так что взвесьте все "за" и "против" и защитите свою сеть! Методы взлома и защиты - 6. Все материалы в разделе "Остальные рефераты". Ваш интернет-канал может использоваться для любой деятельности, в том числе и незаконной. История развития защиты Wi-Fi. Способы защиты от хакеров разного уровня подготовки. Hacking and Protection wi-fi. Вебинар "Построение системы защиты беспроводных сетей" Взлом и защита Wi-Fi. Алгоритмы защиты информации в беспроводных сетях стандарта IEEE Защита распределительных электрических сетей. Перспективные средства передачи информации. Защита информации компьютерных сетей. Основные принципы работы технологии беспроводной связи.
Беспроводные сети не являются защищенными. Большую часть времени они достаточно безопасны для большинства пользователей, но абсолютно частными такие сети сделать невозможно. Простая истина состоит в том, что беспроводная сеть использует радиосигналы с четко определенным набором характеристик, поэтому любой, желающий уделить достаточное количество времени и усилий отслеживанию этих сигналов, скорее всего, сможет найти способ перехватить и прочитать данные, содержащиеся в них. Если вы посылаете конфиденциальную информацию по беспроводному соединению, недоброжелатель может скопировать ее. Номера кредитных карт, пароли учетных записей и другая персональная информация является уязвимой. Шифрование и другие методы защиты могут слегка усложнить перехват данных, но они не обеспечивают полной защиту от действительно опытного шпиона. Как вам может сказать любой полицейский, замки хороши от честных людей, но опытные воры знают, как справиться с ними. В Интернете легко найти целый каталог инструментов для взлома WEP-шифрования. Делая ситуацию еще более опасной, многие сетевые администраторы и пользователи домашней беспроводной сети оставляют двери и окна своих сетей широко открытыми, не используя шифрование и другие функции защиты, интегрированные в каждую беспроводную точку Весной года San Francisco Chronicle сообщила, что эксперт по сетевой защите с направленной антенной, смонтированной на крыше фургона, в деловом районе Сан-Франциско смог зарегистрироваться в среднем в полудюжине беспроводных сетей на квартал. Число таких сетей неуклонно растет. Простых арифметических действий достаточно: Сетевое устройство в соседней комнате здания или через улицу, скорее всего, может сеть обнаружить. На подобное действие способен и ноутбук или PDA, размешенный в припаркованной на улице машине. Если не выполнить некоторых мер предосторожности, оператор данного устройства сможет зарегистрироваться в вашей сети, похитить файлы с серверов и внедриться в интернет-подключение с потоковым видео или сетевыми играми. Важно понимать, что мы говорим о двух разных типах угроз безопасности беспроводной сети. Первой является опасность подключения к вашей сети постороннего лица без вашего ведома или разрешения; второй является возможность того, что опытный взломщик может похитить данные, когда вы передаете и принимаете их. Каждая из них — отдельная потенциальная проблема, и каждая требует специального метода профилактики и защиты. Несмотря на определенную правоту утверждения, что ни один из ныне доступных инструментов не может обеспечить полной защиты, они могут значительно усложнить жизнь большинству случайных недоброжелателей. Беспроводные сети представляют собой компромисс между защитой и удобством использования. Очевидные преимущества беспроводного сетевого подключения — быстрый и простой доступ в сеть с портативного компьютера или из изолированного месторасположения — требуют затрат. Для большинства пользователей эти затраты не перевешивают удобства работы с беспроводной сетью. Но аналогично тому, как, паркуясь, вы запираете двери своей машины, вы должны принять похожие меры для защиты сети и данных. Что вы можете предпринять для защиты от посторонних как оператор беспроводной сети? У вас есть два пути: Если вы читали статьи о защите беспроводной сети в отраслевых журналах и изучали дискуссии на сетевых форумах, легко поверить, что Wi-Fi-сети такие же дырявые, как и вошедшее в пословицу решето. Но, возможно, реальная угроза вашей собственной сети этим преувеличивается. Помните, что большинство людей, близких к похищению ваших сообщений или проникновению в вашу сеть, не будут просто сидеть и ждать, когда вы начнете передавать данные. И, говоря совсем начистоту, большинство данных, пересылаемых через вашу сеть, на самом деле не представляют никакого интереса. Но инструменты шифрования доступны в каждой Wi-Fi-сети, поэтому вам на самом деле стоит их использовать. Более серьезная угроза заключается не в том, что ваши сообщения будут перехватываться, а в том, что будут создаваться нелегальные к ней подключения. При этом неавторизованный пользователь сможет либо читать файлы, хранящиеся на других сетевых компьютерах, либо использовать ваше широкополосное подключение к интернету без вашего ведома или разрешения. Имеет смысл позаботиться об управлении вашей сетью. Если вы выбрали реализацию защиты Это уменьшит расстояние, которое должны преодолевать ваши сигналы, проходящие через стены;. При наличии достаточного количества времени и нужного оборудования WEP несложно взломать, но шифрованные пакеты прочитать все же труднее, чем данные, пересылаемые без шифрования. В этой главе приводится больше информации о WEP-шифроваиии;. Извлечение ключей WEP-шифрования из потока данных требует времени, и каждый раз при смене ключей недоброжелателям, пытающимся похитить ваши данные, приходится все начинать сначала. Поменять ключи раз или два за месяц — это не слишком часто;. В крупной сети может быть предпринята попытка сохранить их на локальной Web-странице или в текстовом файле. Если посторонний украл названия учетных записей и пароли, похититель будет получать сообщения с вашими новыми ключами до того, как их получат ваши законные пользователи;. Эти настройки хорошо известны сетевым хакерам;. Если недоброжелатель обнаружит название BigCorpNet и, оглядевшись, увидит штаб-квартиру BigCorp напротив через улицу, он, скорее всего, целенаправленно проникнет в вашу сеть. То же касается домашней сети. Не называйте ее Перкинсы Perkins , если это имя написано на внешней стороне вашего почтового ящика. Принятые по умолчанию пароли для большинства инструментов конфигурирования точек доступа найти легко и они часто повторяются от одного производителя к другому — совет: Это не дает гарантии, что ваша сеть будет невидима, но может помочь;. Управление доступом ограничивает подключения к сетевым клиентам с заданными МАС-адресами. Точка доступа будет отказывать в соединении любому адаптеру, чей адрес не присутствует в списке. Это может быть непрактично, если вы хотите разрешить другим посетителям пользоваться вашей сетью, но это полезный инструмент для домашней и малой офисной сети, где вы знаете всех своих потенциальных пользователей. Возьмите портативный компьютер с запущенной программой сканирования, такой как Network Stumbler или утилита отображения состояния вашего сетевого адаптера, и начинайте отходить от здания. Если вы можете обнаружить свою сеть на расстоянии квартала, это же сможет и посторонний. Помните, что недоброжелатели могут использовать направленные антенны с высоким коэффициентом усиления, которые это расстояние увеличивают;. Удостоверьтесь, что все использующие сеть сознают, что они используют небезопасную систем;. Не открывайте весь диск. Используйте защиту паролем для каждого доступного элемента;. В лучшем случае беспроводная часть вашей локальной сети является не более защищенной, чем проводная часть, поэтому вы должны соблюдать все те же предосторожности. В большинстве случаев беспроводная часть сети является гораздо менее защищенной, чем проводная;. Некоторые специалисты используют другой метод защиты беспроводной сети. Они принимают идею о том, что сеть Поэтому она отключила все функции защиты WFG представляет собой маршрутизатор, расположенный между беспроводной и остальной частью сети, поэтому весь входящий и исходящий сетевой трафик с беспроводных устройств включая доступ в Интернет должен проходить через шлюз. Как дополнительное преимущество такой метод защиты сводит администраторскую долю в каждом пакете к минимуму, так как они не содержат аутентификации или шифрования. Это уменьшает количество битов в каждом пакете, что увеличивает эффективную скорость передачи данных по сети. Другие операторы беспроводной сети используют VPN для управления доступом через свои беспроводные шлюзы. VPN добавляет другой уровень защиты от точки к точке к IP-слою вместо физического уровня, где в Сетевая защита необходима в двух случаях — сетевой администратор не хочет допустить проникновения в свою сеть неавторизованных пользователей, а индивидуальные пользователи не хотят, чтобы кто-то получил доступ к их личным файлам. Когда вы регистрируетесь в коллективной сети, необходимо принять некоторые меры предосторожности против чтения ваших файлов по сети. Чтобы отключить File Sharing Доступ к файлам перед подключением к коллективной сети, используйте следующую процедуру в Windows 95, Windows 98 и Windows ME:. В диалоговом окне Fi le and Printer Sharing отключите функцию I Want to Give Others Access to My Files Открыть доступ остальным к моим файлам. В Windows и Windows ХР отсутствует центральное место для отключения доступа к файлам, поэтому вы должны отключать каждый доступ отдельно. Иконки для всех ваших доступных дисков и папок снабжены изображением руки. Для отключения доступа щелкните правой клавишей мыши по иконке и выберите Sharing and Security Доступ и безопасность в меню. Отключите функцию Share This Folder on the Network Открыть доступ к этой папке по сети. Повторите процесс для каждой доступной папки или файла. Не забудьте о папке Shared Documents Общие документы. Возвращаясь в офисную или домашнюю сеть, вы должны выполнить процедуру в обратном порядке для возобновления доступа к файлам. Другая проблема заключается в опасности отслеживания шпионом данных, пересылаемых по радиосвязи, и похищения конфиденциальной информации на лету. Это не настолько широко распространено, как получение доступа к сети и чтение файлов шпионом, но возможно. Шифрование и другие инструменты защиты могут усложнить декодирование данных, но лучше поступать с сетью Wi-Fi, как с сотовым телефоном: Инструменты защиты в спецификациях Даже если вы решите их не использовать, перед отключением важно понимать, что они собой представляют и как работают. Как уже говорилось в главе 1, каждая беспроводная сеть имеет название. Когда сеть содержит более чем одну точку доступа, название превращается в ID расширенного набора служб- Extended Service Set ID ESSID. Стандартным обозначением всех сетевых названий является SSID — термин, который вы наиболее часто будете встречать в программах конфигурационных утилит для беспроводных точек доступа и клиентов. При конфигурировании точек доступа для сети вы должны присвоить ей SSID. Каждая точка доступа и сетевой клиент в сети должны использовать один и тот же SSID. На компьютерах, работающих под Windows, SSID беспроводного адаптера должен также быть названием рабочей группы. При обнаружении двух или более точек доступа с одинаковым SSID пользователь предполагает, что все они являются частью одной и той же сети даже если точки доступа работают на разных радиоканалах , и связывается с точкой доступа, обеспечивающей наиболее сильный или чистый сигнал. Если вследствие помех или затухания данный сигнал ухудшится, клиент попытается перейти на другую точку доступа, которая, как он считает, принадлежит этой же сети. Если две разные сети с перекрытием сигналов имеют одно и то же название, клиент предположит, что обе они являются частью одной сети, и может попытаться выполнить переход. С точки зрения пользователя, такой ошибочный переход выглядит как полное прерывание сетевого подключения. Поэтому каждая беспроводная сеть, которая может перекрываться другой, должна иметь уникальный SSID. Исключениями из правила уникального SSID являются коллективные и групповые сети, которые обеспечивают доступ только в Интернет, но не к другим компьютерам или устройствам в локальной сети. Такие сети часто имеют общий SSID, поэтому абоненты могут обнаруживать и подключаться к ним из нескольких мест. Когда точка доступа настроена на открытый доступ, она принимает подключение от клиента, чей SSID установлен в положение Any Любой , так же, как и от устройств, сконфигурированных для общения по собственному SSID точки доступа. Это хороший способ защиты сети от посторонних, но он работает, только если каждый узел в сети использует адаптер от Orinoco Apple AirPort Card является частной версией адаптера Orinoco. Если адаптер, изготовленный каким-либо другим производителем, пытается подключиться к закрытой точке доступа, она будет игнорировать его, даже при совпадении SSID. Сетевой SSID обеспечивает весьма ограниченную форму управления доступом, так как необходимо задавать SSID при настройке беспроводного подключения. Функция SSID точки доступа всегда представляет собой текстовое поле, принимающее любое название, которое вы захотите присвоить. Однако многие программы конфигурирования сети включая инструменты беспроводной сети в Windows ХР и те, что поставляются с некоторыми основными марками сетевых адаптеров автоматически обнаруживают и отображают SSID каждой активной сети в пределах зоны действия их сигналов. Поэтому не всегда обязательно знать SSID сети перед подключением. Иногда конфигурационная утилита монитор сети или программа сканирования, аналогичная Network Stumbler будет показывать вам названия каждой близлежащей сети в виде списка или меню. В качестве примера на рис. MobileStar вошла в состав другой службы вскоре после того, как я составил данный план, поэтому названия сетей изменились, но служба осталась на месте. Каждая точка доступа поставляется с принятой по умолчанию настройкой SSID. Эти принятые по умолчанию параметры хорошо известны и опубликованы в сообществах сетевых шпионов см. Очевидно, что принятые по умолчанию настройки не должны использоваться в любой сети. Многие точки доступа поставляются с функцией скрытия SSID, часто называемой Скрытая сеть или Скрываемая сеть. Эта функция помогает помешать некоторым шпионам обнаружить название вашей сети, но всякий раз, когда новый клиент подключается к ней или существующий клиент получает слабый сигнал, выполняется передача SSID, и такая программа, как Kismet, его определяет. Сокрытие SSID может замедлить работу случайного гостя, но не обеспечивает реальной защиты. WEP-шифрование является функцией каждой системы Как следует из названия, первоначальной задачей протокола защиты, эквивалентной проводной — Wired Equivalent Privacy WEP , было обеспечение уровня защиты беспроводных сетей, сравнимой с защитой проводной сети. Но существует весьма распространенное утверждение, что сеть, основанная на WEP-шифровании, почти так же уязвима к вторжению, как и сеть с абсолютным отсутствием защиты. Она будет защищать от случайных шпионов, но не будет особенно эффективна против упорного взломщика. WEP выпоняет три функции: Для шифрования пакетов данных WEP использует секретный ключ шифрования перед тем, как сетевой клиент или точка доступа передаст их, и применяет этот же ключ для декодирования данных после их приема. Когда клиент пытается обменяться данными с сетью, используя другой ключ, результат искажается и игнорируется. Поэтому WEP-настройки должны быть абсолютно одинаковыми на каждой точке доступа и адаптере клиента в сети. Это звучит достаточно просто, но вызывает затруднения, так как производители используют разные методы для определения размера и формата WEP-ключа. Функции неизменны от марки к марке, но одинаковые настройки не всегда имеют одинаковые обозначения. Во-первых, WEP-ключ может состоять либо из 64, либо из битов. Путаница в реализациях разных производителей возникает оттого, что битный WEP представляет собой то же, что и ключ WEP, а битный ключ — то же, что и битный ключ. Стандартный битный WEP-ключ является строкой, содержащей внутренне сгенерированный битный вектор инициализации и битный секретный ключ, присвоенный сетевым администратором. В любом случае схема шифрования остается той же самой, поэтому адаптер, использующий битное шифрование, полностью совместим с точкой доступа или адаптером, использующим битное шифрование. Сильное шифрование односторонне совместимо с битным шифрованием, но не является автоматическим, поэтому все составляющие смешанной сети из устройств со битным и битным ключом будут работать с битным шифрованием. Если точка доступа и все адаптеры допускают битное шифрование, используйте битный ключ. Но если вы хотите, чтобы ваша сеть была совместима с адаптерами и точками доступа, которые распознают только битное шифрование, настройте всю сеть на использование битных ключей. Но только длина ключа сбивает с толку при настройке WEP-шифрования. Некоторые программы требуют ключа в виде строки из текстовых символов, а другие — в виде шестнадцатеричных чисел. Остальные могут генерировать ключ из опциональной идентификационной фразы. Каждый ASCII-символ состоит из 8 битов, поэтому битный или битный WEP-ключ содержит 5 символов, а битный или битный ключ состоит из 13 символов. В шестнадцатеричной системе каждое число состоит из 4 битов, поэтому битный ключ содержит 10 шестнадцатеричных символов, а битный имеет 26 символов. Программа D-Link содержит все десять символов в одной строке, но некоторые другие разделяют их на пять групп по два числа или на две группы из пяти чисел. Для компьютера ключ выглядит одинаково в любом случае, но проще копировать строку, когда она разделена на части. Многие утилиты клиентов, такие как диалоговое окно Wireless Network Properties Свойства беспроводной сети в Windows ХР изображенное на рис. Идентификационная фраза представляет собой текстовую строку, которую адаптеры и точки доступа автоматически преобразуют в строку из шестнадцатеричных символов. Так как люди обычно легче запоминают осмысленные слова или фразы, чем абракадабру из шестнадцатеричных символов, идентификационную фразу легче передавать, чем шестнадцатеричную строку. Тем не менее идентификационная фраза полезна только тогда, когда все адаптеры и точки доступа в сети сделаны одним производителем. Аналогично практически всем настройкам в конфигурационной утилите Некоторые точки доступа также предоставляют опциональную функцию аутентификации с открытым ключом, использующей WEP-шифрование, когда сетевой клиент имеет ключ, но нешифрованные данные принимаются с других сетевых узлов. Настройка смешанной сети усложняется, когда некоторые сетевые узлы используют только шестнадцатеричные ключи, а другие требуют текстовых. Если такая ситуация возникла в вашей сети, нужно следовать нижеперечисленным правилам для их настройки WEP:. Если конфигурационная программа требует текстового ключа, введите символы Ох ноль с последующей строчной буквой х перед шестнадцатеричной строкой. Возможно, что одно или более из этих устройств в сети имеет некую скрытую индивидуальную особенность, о которой вы не знаете. Многие точки доступа и адаптеры сетевых клиентов могут поддерживать до четырех разных битных WEP-ключей, но только один является активным в отдельный момент времени, как показано на рис. Другие ключи являются запасными, что может позволить сетевому администратору корректировать защиту сети с помощью короткого уведомления. Адаптеры и точки доступа, поддерживающие битное шифрование, используют только один битный WEP-ключ в отдельный момент времени. В сети, где WEP-шифрование организовано серьезно. WEP-ключи должны меняться регулярно, по расписанию. Срок в месяц достаточен для сети, по которой не передаются важные данные, но для более серьезной сети новый ключ необходимо устанавливать раз или два в неделю. Не забывайте записывать свои текущие WEP-ключи в безопасном месте. В домашней или малой офисной сети вы, скорее всего, будете менять все WEP-ключи самостоятельно. В противном случае сетевой администратор или специалист по защите должен распространять новые WEP-ключи на бумаге, в служебной записке, а не по электронной почте. Для дополнительного уровня защиты в сетях с использованием битного шифрования проинструктируйте ваших пользователей о смене двух ключей одновременно не текущих принятых по умолчанию. Отправьте отдельную служебную записку с уведомлением пользователей о том, какой ключ стал новым, принятым по умолчанию, и когда должна произойти его смена. Отдельное указание может сообщать: Для смены выбирайте время, когда беспроводную сеть использует наименьшее количество пользователей, поскольку любое активное соединение на точке доступа в момент смены ключей будет разорвано и его нельзя будет восстановить до изменения ключей на адаптере клиента. Пользователи могут ввести новые ключи заранее как альтернативы текущему активному ключу и сменить их несколькими щелчками мыши, когда новый ключ вступит в силу. Некоторые ученые, изучающие компьютеры, опубликовали доклады о WEP-шифровании, в которых приводятся аргументы против его использования для защиты конфиденциальных данных. Все они указывают на серьезные недостатки в теории и практике криптографии, используемые при составлении алгоритмов WEP-шифрования. Эти эксперты единогласны в своих рекомендациях: Необходимо задействовать другие методы защиты своих сетей. Группа из Калифорнийского университета в Беркли нашла многочисленные недостатки в алгоритме WEP, делающие его уязвимым по крайней мере для четырех различных видов атак:. Доклад из Беркли завершается недвусмысленным утверждением: Они смогли заказать и получить необходимое оборудование, установить испытательный стенд, разработать свой инструмент для атаки и успешно завладеть битным WEP-ключом менее чем за неделю. Их доводы понятны, но методы предполагают наличие у недоброжелателя некоторых серьезных технических знаний. Тем не менее инструменты для менее искушенных взломщиков кодов можно найти так же легко. Разработчики AirSnort утверждают, что их программа может успешно взламывать большинство сетей в течение двух недель. Данная технология отслеживает сетевые сигналы без влияния на них, поэтому сетевой администратор не может обнаружить наличие атаки. Программа выпускается с целью усугубления проблемы. Если взломать WEP-шифрование легко, группы, создающие стандарты, вынуждены либо искать способ сделать его безопаснее, либо заменить более трудным для взлома вариантом. Шифрованные данные защищеннее передачи открытым текстом, а взлом WEP-ключа требует времени, поэтому WEP добавляет другой предположительно слабый уровень защиты, особенно если вы часто меняете ключи. Для защиты вас от серьезных врагов WEP-шифрование много сделать не в состоянии, но оно обезопасит от случайных недоброжелателей. Гораздо проще проникнуть в сеть, не использующую шифрование что и делает большинство из них , поэтому хакер, обнаруживший зашифрованный сигнал, скорее всего, переключится на цель с меньшей защитой. Успешные атаки на WEP-шифрование и легко доступные инструменты для использования недостатков протокола защиты заставляют участников Wi-Fi Alliance серьезно задуматься о поддержке своей лицензии как стандарта де-факто для беспроводной сети. Они хотят найти решение до того, как дурная слава о взломах защиты перевесит спрос на беспроводное Ethernet-оборудование, тщательно созданное и разрекламированное ими. Новые стандарты, которые разрешат эту проблему, будут называться Комитет, названный Task Group i TGi , занят работой над новой усовершенствованной спецификацией защиты, которая будет как предполагается лишена всех известных недостатков стандартов WEP-шифрования. Группа обещает, что новые инструменты защиты заработают автоматически и будут совместимы с более старым оборудованием, не использующим новые инструменты. У исследовательской группы есть Web-сайт на http: Wi-Fi Alliance желает, чтобы его члены приступили к использованию продукта TGi как можно быстрее. Это может разрядить ситуацию до того, как она превратится в коммерческое бедствие. Как только инженеры сообщат о найденном решении, все производители точек доступа и сетевых адаптеров будут интегрировать новые методы защиты в свою продукцию, a Alliance добавит их к тестовому комплекту сертификации Wi-Fi. Обновленное программное обеспечение и прошивки обеспечат совместимость существующих продуктов Большинство точек доступа имеет функцию, разрешающую сетевому администратору ограничивать доступ к адаптерам клиентов из заданного списка. Если сетевое устройство, чей МАС-адрес не присутствует в списке авторизованных пользователей, пытается подключиться, точка доступа игнорирует запрос на ассоциирование с сетью. Такой способ может стать эффективным для предотвращения подключения посторонних к беспроводной сети, но это вынуждает сетевого администратора хранить полный список адаптеров пользователей и их МАС-адресов. Каждый раз, когда новый пользователь хочет подключиться к сети и когда легальный пользователь меняет адаптеры, кто-то должен добавлять в список еще один МАС-адрес. Это осуществимо в домашней или малой офисной сети, но может стать большой проблемой для крупной корпоративной или кампусной системы. Каждая конфигурационная утилита точки доступа для списков доступа использует свой формат. Руководство и on line-документация, поставляемые с вашей точкой доступа, должны предоставлять подробные инструкции по созданию и использованию списка управления доступом. Некоторые точки доступа ограничивают список несколькими десятками параметров. Другие, например Proxim Harmony АР Controller, будут поддерживать вплоть до отдельных адресов. Остальные допускают неограниченное количество. Если вы планируете использовать список адресов для управления доступом в свою сеть, удостоверьтесь, что точка доступа будет работать с достаточно большим списком для поддержки всех пользователей с достаточным запасом на будущее. Непреложное правило — точка доступа должна допускать по крайней мере вдвое большее число МАС-адресов по сравнению с нынешним числом пользователей вашей сети. МАС-аутентификация не может защитить от всех вторжений, так как смена МАС-адреса в большинстве сетевых карт является тривиальной: Из-за прорех в защите со спецификацией WEP-шифронания многие производители беспроводного сетевого оборудования и разработчики программного обеспечения уже адаптировали новый IEEE-стандарт — В беспроводных сетях Большинство конечных пользователей должны знать две вещи о Малоприятные технические подробности, в виде анализа подготовленные двумя исследователями Университета Мериленда, доступны в режиме online на http: Кажется, что появился ориентир, не так ли? Инженеры из заинтересованных компаний, производящих оборудование и программное обеспечение, объединяются вместе под флагом исследовательской группы. Является ли безопасная беспроводная сеть недостижимым идеалом? Если вы посмотрите на беспроводную защиту как на игру в кошки-мышки, весьма очевидно, что мыши шпионы и сетевые кракеры остаются в выигрыше. Но этим мышам необходимы углубленные знания и оборудование для преодоления существующих инструментов кодирования и аутентификации. Подумайте об этом как о парадной двери вашего дома: Специалист может вскрыть замок, но на это потребуется много времени и усилий. Если вы допускаете мысль о том, что WEP-шифрование и Брандмауэр является прокси-сервером, фильтрующим все данные, проходящие через него в сеть или из нее, в зависимости от набора правил, установленных сетевым администратором. Например, брандмауэр может отсеивать данные от неизвестного источника или файлы, связанные с определенным источником вирусы. Или он может пропускать все данные, передающиеся из локальной сети в Интернет, но пропускать только конкретные их типы из Интернета. Наиболее общим использованием брандмауэра сети является шлюз в Интернет, как показано на рис. Брандмауэр отслеживает все входящие и исходящие данные между локальной сетью на одной стороне и Интернетом на другой. Такой тип брандмауэра предназначен для защиты компьютеров в сети от неавторизованного доступа из Интернета. В беспроводной сети брандмауэр может быть также расположен на шлюзе между беспроводными точками доступа и проводной сетью. Такой брандмауэр изолирует беспроводную часть сети от проводной сети, поэтому недоброжелатели, подключившие свои компьютеры к сети без разрешения, не могут использовать беспроводное подключение для выхода в Интернет или проводную часть сети. Большинство людей, пытающихся присоединиться к беспроводной сети, не беспокоятся о других компьютерах; их интересует бесплатный высокоскоростной доступ в Интернет. Если они не могут использовать вашу сеть для загрузки файлов или подключения к своим любимым Web-страницам, то, скорее всего, попытаются найти какую-либо другую незащищенную беспроводную точку. Это не означает, что вы должны хранить конфиденциальные данные в доступных файлах на незащищенных компьютерах, но если можно ограничить или запретить доступ в Интернет, вы сделаете свою сеть гораздо менее привлекательной для недоброжелателей. Брандмауэр в беспроводной сети может выполнять несколько функций: Но он не вмешивается в команды, сообщения и передачу файлов, осуществляемые доверенными пользователями. Авторизованный пользователь может подключаться к сетевым узлам проводной части смешанной сети или к Интернету, а посторонний будет отсекаться брандмауэром. Так как и авторизованные пользователи, и посторонние находятся на незащищенной стороне брандмауэра, это не изолирует беспроводные узлы один от другого. Недоброжелатель по-прежнему может получить доступ к другому компьютеру в этой же беспроводной сети и считать доступные файлы, поэтому лучше отключить File Sharing Доступ к файлам на любом компьютере, подключенном к беспроводной сети. Брандмауэр для беспроводной сети должен использовать некий тип аутентификации, чтобы пропускать авторизованных пользователей через шлюз, а всех остальных отсеивать. Если управление доступом, основанное на МАС-адресах, встроено в системы Если ваша беспроводная сеть содержит компьютеры, работающие под несколькими операционными системами, брандмауэр должен использовать логин, работающий на любой платформе. Самым простым способом выполнения этого условия является использование сервера аутентификации на базе Web, наподобие включенного в Apache Web-сервер http: Центр NASA использует Apache на выделенном сервере для создания Web-сайта, уведомляющего пользователей о вводе названия учетной записи и пароля. Если они правильные, он инструктирует сервер о принятии команд и данных по IP-адресу пользователя. Web-сервер Apache доступен как Unix приложение, которое запускается на старом медленном компьютере с ранним Pentium или лаже CPU, поэтому часто можно заново использовать старый компьютер, который больше не применяется в повседневной работе, чтобы задействовать его в качестве брандмауэра. Как приложение Apache, так и операционная система Unix доступны в качестве открытого программного обеспечения, поэтому далжна быть возможность построить брандмауэр на базе Apache за предельно низкую стоимость. Если вы предпочитаете вместо Unix использовать Windows, у вас есть несколько вариантов. Если посторонние пытаются подключиться к точке доступа без необходимого отпечатка, сеть блокирует их. Не все атаки на беспроводную сеть осуществляются по воздуху. Беспроводная сеть требует такого же рода брандмауэрной поддержки против атак из интернета, как и любая другая сеть. Многие точки доступа содержат функции конфигурируемого брандмауэра, но, если ваши этого не обеспечивают, сеть должна содержать один или более следующих брандмауэров:. Клиентские программы брандмауэров обеспечивают другую линию защиты от атак вашей сети через Интернет. Некоторые из них исходят от недоброжелателей, ищущих способ прочесть ваши файлы и другие ресурсы, которые вы хотите скрыть от внешнего мира. Другие могут захотеть использовать ваш компьютер в качестве рассыльной точки для спама или попыток внедрения в компьютер в другой точке земного шара, чтобы сделать реальный ресурс сложнее для отслеживания. Остальные распространяют вирусы или используют нежелательные программы, перехватывающие управление компьютером и отображающие устрашающие или рекламные сообщения. К тому же незащищенная машина с большим объемом неиспользуемого пространства хранения может стать привлекательной мишенью для хакеров, желающих распространять пиратское программное обеспечение, музыку или видеофайлы не думаете же вы, что они хранят этот хлам на своих собственных компьютерах? Если вы установите брандмауэр, уведомляющий вас о попытке внешнего компьютера подключиться к сети, то, скорее всего, будете отмечать несколько попыток вторжения каждый день. Самым простым вариантом использования брандмауэра для беспроводной сети является использование встроенного в точку доступа. Некоторые сочетают функции беспроводной точки доступа с широкополосным маршрутизатором и свитчем Ethernet, поэтому поддерживают как проводных, так и беспроводных сетевых клиентов. Как известно, сетевой маршрутизатор обеспечивает преобразование между числовым IP-адресом, определяющим шлюз локальной стеи, и внутренними IP-адресами, определяющими индивидуальные компьютеры в ее пределах. Брандмауэр обычно блокирует все входящие запросы данных к локальным сетевым хостам, но это создает проблемы, когда вы хотите использовать один или более компьютеров локальной сети в качестве файловых серверов. Для решения этой проблемы брандмауэр включает виртуальный сервер, который перенаправляет запросы определенного типа на соответствующий компьютер внутри сети. Каждый запрос на подключение к серверу содержит номер конкретного порта, определяющего тип сервера. Например, Web-серверы работают с портом 80, a FTP используют порт 21, поэтому номера этих портов являются частью запроса на доступ. Принимая запросы на доступ к серверу, вы должны включить в брандмауэре функцию преобразования сетевого адреса — network address translation NAT для направления этих запросов на заданный компьютер в пределах локальной сети. В разных сетях используются сотни номеров других портов, но большинство из них вы никогда не встретите в реальном использовании. Официальный список назначенных портов находится на http: NAT-преобразование предполагает, что IP-адреса каждого виртуального сервера от одного запроса к следующему меняться не должны. Web-сервер с текущим номером Обычно это не является проблемой в проводной сети, но в беспроводной, где сетевые клиенты подключаются и выходят непрерывно. DHCP-сернер автоматически присваивает следующий доступный номер каждому новому клиенту. Если один из этих пользователей является месторасположением одного из сетевых служебных портов, NAT, возможно, его не обнаружит. Проблема эта не слишком распространена, так как в большинстве сетей в качестве серверов не используются портативные компьютеры, но иногда такое случается. Решением является либо отключение DHCP-сервсра и назначение постоянного IP-адреса каждому клиенту, либо перемещение служебного порта на компьютер, имеющий проводное соединение с сетью. Брандмауэр беспроводного шлюза на интерфейсе между точкой доступа и проводной частью вашей LAN предотвратит использование сети посторонними для выхода в Интернет, а брандмауэр интернет-подключения отклонит попытки подключения к сети из Интернета, но для беспроводной сети необходима еще одна форма защиты. Если кто-либо получает доступ к вашей беспроводной сети без разрешения, вы захотите избавить от него другие легальные компьютеры в этой же сети. Это означает, что вам необходима программа брандмауэра клиента для каждого сетевого узла. Брандмауэр клиента выполняет те же функции на сетевом интерфейсе компьютера, которые сетевой или корпоративный брандмауэр выполняет для всей сети. Он обнаруживает попытки подключения к портам TCP и игнорирует их, если они не совпадают с одной или более конфигурационными настройками программы брандмауэра. Некоторые брандмауэры доступны в виде испытательной версии, а другие являются бесплатными для некоммерческих пользователей, поэтому можно легко попробовать их на вашей собственной системе и выбрать наиболее понравившийся. Пользователи Unix и Linux также имеют многие функции брандмауэра. Большинство из них были написаны для использования на автономных брандмауэрных компьютерах, которые широко применяются в качестве сетевых шлюзов, но они в равной степени могут выступать в качестве защиты индивидуальных сетевых клиентов. В Linux брандмауэр является частью ядра, пользователь работает с ним через консольные утилиты — либо ipchains, либо iptables. Обе документированы на http: IP Filter представляет собой программный пакет, обеспечивающий службы брандмауэра для систем FreeBSD и NetBSD. Официальный Web-сайт IP Filter находится на http: Программа может отклонять или разрешать любой пакет, проходящий через брандмауэр, а также выполнять фильтрацию по сетевой маске или адресу хоста, реализовать ограничения по служебному порту и обеспечивать службы NAT-преобразования. Он работает на любом PC с м или более современном CPU с минимальным объемом памяти 8 Мб. PortSentry является инструментом определения сканируемых портов, интегрируемым в несколько широко используемых версий Linux, включая Red Hat, Caldera, Debian и Turbo Linux. Он доступен для загрузки на http: Изолируя подключение между сетевыми узлами от другого сетевого трафика, VPN может добавлять еще один уровень защиты. Многие эксперты по сетевой защите рекомендуют VPN как эффективный способ защиты беспроводной сети от недоброжелателей и неавторизованных пользователей. Вы можете найти более подробную информацию о настройке и использовании VPN в следующей главе. До сих пор мы говорили о предотвращении доступа электронных воришек в вашу сеть. Достаточно просто получить доступ к сети, используя имеющееся в наличии оборудование, которое еще не было для нее сконфигурировано. Сделать это еще проще, если у злоумышленника есть компьютер, украденный у авторизованного пользователя. Потерять портативный компьютер малоприятно. Еще хуже позволить похитителю использовать украденный компьютер для ретстрации в сети. Как сетевой оператор вы должны напоминать своим пользователям, что их портативные устройства — это привлекательные мишени для воришек, и предлагать некоторые советы по их защите. Будучи пользователем, вы и сами должны придерживаться тех же правил. Первое правило простое — не забывайте о том, что вы носите компьютер. Это кажется очевидным, но водители такси в Лондоне нашли примерно ноутбуков и 62 ООО мобильных телефонов! Бесчисленное количество других были оставлены в самолетах, гостиничных номерах, пригородных электричках и конференц-залах. Не афишируйте то, что вы носите компьютер. Держите компьютер в руках или на плече всегда, когда он не заперт в шкафу или камере хранения. Отвлекитесь на минуту — и опытный вор сможет его похитить. Терминалы аэропортов, железнодорожные станции и вестибюли отелей являются привычными местами для краж. Не оставляйте незащищенный персональный компьютер в офисе на ночь. Не пропускайте его через сканеры в аэропортах. Попросите контролера досмотреть его собственноручно или удостоверьтесь, что можете вернуть компьютер сразу же после того, как он закончит прохождение по ленте транспортера. Два человека, работающих в паре, могут элементарно задержать вас и украсть компьютер до того, как он окажется у вас. Если кто-либо пытается стащить компьютер во время проверки багажа, поднимите шум и позовите на помощь охрану. Удостоверьтесь, что ваши компьютеры и отдельные компоненты, такие как РС-карты, имеют ярлыки, указывающие на право собственности, внутри и снаружи. Компания Security Tracking of Office Property http: Если вы можете убедить своих клиентов использовать на компьютерах устройства оповещения, это может повысить шансы на их возвращение. И наконец, храните список моделей и серийных номеров отдельно от самих устройств. Эта информация необходима вам для страхового требования. Когда вы обнаруживаете, что один из компьютеров, подключенных к вашей сети, был утерян или украден, важно защитить остальную сеть. По возможности смените сетевой SSID, пароль и WEP-ключи как можно скорее. Если ваша сеть использует список МАС-адресов для управления доступом, удалите МАС-адрес похищенного устройства из списка авторизованных подключений. Если вы используете беспроводную сеть для обеспечения коллективного доступа в Интернет окрестной сети или кампуса или хотите позволить заказчикам и другим посетителям подключаться к вашей беспроводной сети, не стоит использовать WEP или другие инструменты защиты для ограничения доступа известными пользователями, но все же необходимо обеспечить некоторые меры защиты. Если все локальные узлы вашей сети подключены по проводам, наилучшим методом будет размещение брандмауэра между беспроводной точкой доступа и проводной LAN, что позволит точке доступа и компьютерам, подключенным к ней через беспроводные соединения подключаться только к Интернету, а не к любому из локальных узлов проводной сети, как показано на рис. Тем не менее, если некоторые из ваших домашних компьютеров используют беспроводные подключения, необходимо защитить их от доступа посторонних, использующих коллективную часть вашей сети. Для осуществления этого плана существует пара способов: Основным правилом является использование одного или более брандмауэров для изолирования коллективной части вашей сети от компьютеров, которые вы не хотите делать доступными для остального мира. Для централизованного управления доступом к файлам в Windows ХР и Windows откройте правой кнопкой мыши контекстное меню My Computer и выберите Manage. В правой панели выберите закладку Shared Folders , затем Shares. Главная В избранное Наш E-MAIL Добавить материал Нашёл ошибку Другие сайты Вниз. Альтернативная медицина Астрономия и Космос Биология Военная история Геология и география Государство и право Деловая литература Домашние животные Домоводство Здоровье История Компьютеры и Интернет Кулинария Культурология Литературоведение Математика Медицина Научная литература - прочее Педагогика Политика Психология Религиоведение Сад и огород Самосовершенствование Сделай сам Спорт Технические науки Транспорт и авиация Учебники Физика Философия Хобби и ремесла Шпаргалки Эзотерика Юриспруденция Языкознание. Защита беспроводной сети Беспроводные сети не являются защищенными. Защита вашей сети и данных Что вы можете предпринять для защиты от посторонних как оператор беспроводной сети? Понятно, что функции защиты, интегрированные в протоколы Чтобы отключить File Sharing Доступ к файлам перед подключением к коллективной сети, используйте следующую процедуру в Windows 95, Windows 98 и Windows ME: В Control Panel Панель управления откройте диалоговое окно Network Сеть. Выберите File and Printer Sharing Доступ к файлам и принтерам. Откройте окно My Computer Мой компьютер. Щелкните по кнопке ОК Да , чтобы закрыть диалоговое окно. Название сети SSID Как уже говорилось в главе 1, каждая беспроводная сеть имеет название. WEP-шифрование WEP-шифрование является функцией каждой системы Сколько битов в вашем WEP-ключе? ASCII или шестнадцатеричный ключ? Комбинирование шестнадцатеричных и текстовых ключей Настройка смешанной сети усложняется, когда некоторые сетевые узлы используют только шестнадцатеричные ключи, а другие требуют текстовых. Если такая ситуация возникла в вашей сети, нужно следовать нижеперечисленным правилам для их настройки WEP: Смена WEP-ключей Многие точки доступа и адаптеры сетевых клиентов могут поддерживать до четырех разных битных WEP-ключей, но только один является активным в отдельный момент времени, как показано на рис. Типовое еженедельное указание может выглядеть так: Пожалуйста, введите следующие новые битные WEP-ключи: XX XX XX XX XX Ключ 4: YY YV YY YY YY В другой записке, неделей позже, будут предоставлены коды для Ключа 2 и Ключа 3. Группа из Калифорнийского университета в Беркли нашла многочисленные недостатки в алгоритме WEP, делающие его уязвимым по крайней мере для четырех различных видов атак: Управление доступом Большинство точек доступа имеет функцию, разрешающую сетевому администратору ограничивать доступ к адаптерам клиентов из заданного списка. Тем не менее это может стать весьма эффективным способом замедлить работу случайного шпиона. Инженеры из заинтересованных компаний, производящих оборудование и программное обеспечение, объединяются вместе под флагом исследовательской группы Что делать? Брандмауэры Если вы допускаете мысль о том, что WEP-шифрование и Изолирование вашей сети от Интернета Не все атаки на беспроводную сеть осуществляются по воздуху. Многие точки доступа содержат функции конфигурируемого брандмауэра, но, если ваши этого не обеспечивают, сеть должна содержать один или более следующих брандмауэров: Точки доступа с брандмауэрами Самым простым вариантом использования брандмауэра для беспроводной сети является использование встроенного в точку доступа. Брандмауэрное программное обеспечение Брандмауэр беспроводного шлюза на интерфейсе между точкой доступа и проводной частью вашей LAN предотвратит использование сети посторонними для выхода в Интернет, а брандмауэр интернет-подключения отклонит попытки подключения к сети из Интернета, но для беспроводной сети необходима еще одна форма защиты. Ниже приведены некоторые программы для Windows: Виртуальные частные сети Изолируя подключение между сетевыми узлами от другого сетевого трафика, VPN может добавлять еще один уровень защиты. Физическая защита До сих пор мы говорили о предотвращении доступа электронных воришек в вашу сеть. Объединение вашей сети с миром Если вы используете беспроводную сеть для обеспечения коллективного доступа в Интернет окрестной сети или кампуса или хотите позволить заказчикам и другим посетителям подключаться к вашей беспроводной сети, не стоит использовать WEP или другие инструменты защиты для ограничения доступа известными пользователями, но все же необходимо обеспечить некоторые меры защиты. Главная В избранное Наш E-MAIL Добавить материал Нашёл ошибку Наверх.
Как настроить роутер zyxel keenetic start
Значение рынка ценных бумаг
Как сделать фальш камин видео
В доме плохо ловит связь что делать
Сколько стоят лежаки в турции на пляже