aver.ru → Важливо → Як захищати свою бездротову мережу
печатка
Як захищати свою бездротову мережу.
Бездротові мережі (WLAN) мають ряд недоліків, найістотніший з яких підпадає під сферу безпеки. У багатьох організаціях допускається розгортання бездротових мереж на рівні відділів взагалі без будь-яких заходів безпеки. Якщо хто-небудь об'єднує такі бездротові мережі з корпоративною мережею, виникає небезпека появи величезної діри в системі безпеки цієї мережі. Пропоную увазі читачів 10 порад, які допоможуть зробити мережі 802.11b більш захищеними.
10. Захищайте станції доступу (AP). Захищеність мережі починається з фізичної безпеки: не можна виставити бездротову AP на загальний огляд і сподіватися, що вона буде в безпеці. Звертайтеся зі своїми AP як з концентраторами - обмежте фізичний доступ до них, зберігаючи під замком далеко від сторонніх очей. Щоб зменшити ймовірність прослуховування сигналу ззовні, намагайтеся розташовувати AP ближче до внутрішньої частини будівлі.
9. Встановлюйте бездротові AP за межами основного брандмауера. Коли AP розташовується поза брандмауера, мережа отримує додатковий рівень захисту за рахунок того, що бездротові користувачі сприймаються як «чужі». Якщо встановити WLAN можна тільки всередині брандмауера, то для ізоляції трафіку WLAN слід скористатися демілітаризованою зоною (DMZ), екранованої підмережею або віртуальної локальної мережею (VLAN).
8. Внесіть необхідні зміни за замовчуванням Service Set Identifier (SSID). Налаштування SSID є механізмом іменування бездротових пристроїв. Це не цілком надійна міра захисту, але виявлення SSID мережі WLAN - перше завдання хакера при зломі мережі. Для того щоб ускладнити її, змініть значення SSID, встановлене за замовчуванням, і виберіть таке ім'я SSID, яке важко вгадати.
7. Вимкніть функцію автоматичного транслювання SSID. За замовчуванням багато AP транслюють SSID, для того щоб спростити підключення бездротових пристроїв. Однак в той же час це спрощує хакерам завдання розкриття SSID. Відключення трансляції SSID підтримується в більшості AP, хоча для більш старих пристроїв може знадобитися модернізація вбудованих програм.
5. Увімкніть шифрування Wired Equivalent Privacy (WEP). Хоча стандарт WEP відомий своїми помилками, якими може скористатися досвідчений зломщик, він запобіжить несанкціонований доступ до WLAN випадкових користувачів.
4. Змініть значення шифру WEP, встановлене за замовчуванням. Одна з поширених помилок, яку допускають багато адміністраторів, коли включають WEP, полягає в тому, що вони використовують шифр, встановлений за замовчуванням постачальником. Секретний шифр лежить в основі WEP-захисту, а WEP-шифри, що встановлюються за замовчуванням, добре відомі. Після зміни шифру ви будете впевнені, що він унікальний.
3. Міняйте WEP-шифр регулярно. Деякі дорогі пристрої стандарту 802.11 можуть автоматично управляти WEP-шифрами, використовуваними у всій мережі WLAN, але більшість рішень вимагають зміни шифру вручну. Для того щоб зменшити вразливість шифрування, складіть розклад для регулярного зміни WEP-шифрів, які використовуються в організації.
2. Відстежуйте наявність сторонніх мереж. Використовуйте такі інструменти, як AirMagnet Laptop і Marius Milner's NetStambler, для пошуку неврахованих мереж. Відділи, в яких не вжито заходів безпеки, можуть будувати мережі WLAN і ненавмисно підривати безпеку всієї мережі організації.
1. Для більшої захищеності використовуйте віртуальні приватні мережі (VPN). Захист за допомогою WEP - це краще, ніж нічого, але її не можна вважати абсолютно надійною: кілька добре відомих «черв'яків» можуть зламувати WEP. Для того щоб домогтися максимально можливої захищеності сучасних пристроїв 802.11, реалізуйте VPN-підключення бездротових пристроїв до своєї мережі. VPN дозволяє створити дуже стійкий до вторгненням ззовні зашифрований канал для бездротового трафіку.
Як захищати свою бездротову мережу.