При построении локальных сетей и особенно при использовании беспроводных технологий передачи данных особое внимание уделяется безопасности и защите информации. Это связано с тем, что данные в таких сетях передаются в среде доступной для прослушивания потенциальными недоброжелателями. Вопрос безопасности является, пожалуй, одним из решающих аспектов при принятии решения о развертывании беспроводных сегментов локальный сетей.
Попробуем на доступном уровне разобраться в современных средствах безопасности беспроводных и необходимости их применения.
Предположим, что вы только что установили новую беспроводную сеть в вашей компании или дома. Точки доступа (или беспроводной маршрутизатор) подключены и работают, а беспроводные клиентские ПК уже настроены для работы в вашей сети. Сеть без проводов работает и это прекрасно, но в сравнении с проводными ЛВС вы не можете быть уверены в том, что к вашей сети не может подключиться неавторизованный пользователь. Когда вы используете беспроводную ЛВС, вы используете радио-частоты действующие на расстоянии до 250-300 метров на открытом пространстве. Таким образом, теоретически возможно, что кто-то еще на соседней улице сможет подключиться к вашей сети. Как этого избежать?
В большинстве беспроводных сетей в плане сетевой безопасности настройки по умолчанию весьма ненадежны. Однако нет поводов для волнения. Пройдем несколько шагов, чтобы понять и научиться конфигурировать систему безопасности вашей беспроводной сети, для того чтобы она смогла стать такой же защищенной, как и проводные ЛВС.
Если вы лишь посещаете веб-страницы в Интернете и иногда используете e-mail, то риск взлома вашей сети минимален. HTTP соединения с Интернет-магазинами уже осуществляются с достаточно стойкими для взлома средствами безопасности. Кроме того, если вы используете беспроводную сеть у себя дома, то у вас попросту нет интересующих хакеров данных, чтобы они тратили свои силы на взлом.
Но с другой стороны все выглядит не так просто как кажется. Прежде всего, кто-то может захотеть взломать вашу беспроводную сеть, чтобы получить бесплатный доступ в Интернет, даже если вы используете медленное модемное соединение, разделенное между несколькими рабочими станциями. В этом случае кто-то может украсть пропускную способность вашего Интернет канала. Если хакер будет лишь периодически скачивать почту или посещать веб-страницы, то это вряд ли нанесет вам большой урон и вы это даже возможно не заметите. В этом случае это будет вам стоить онлайнового времени и денег. Худший случай может быть тогда, когда хакер будет использовать вашу беспроводную сеть для атак на другие защищенные сети или системы. Также, неавторизованный пользователь может разослать СПАМ или производить другие противоправные действия через вашу сеть. Возможны и другие неприятности, поэтому защита вашей сети выглядит неплохой идеей.
Сколько защиты достаточно? Вопросы сетевой безопасности, безусловно, включают себя аспекты здравого смысла. Ключ к успеху лежит в понимании и снижении того уровня риска, с которым вы согласны мириться. Ответьте себе на вопрос — насколько должна быть сильна защита беспроводной сети или какова ценность информации, которую вы собираетесь охранять.
Давайте изучим риски на простом примере. Для домашней локальной сети ставки весьма низки, поскольку вряд ли кто-то захочет украсть у вас информацию, которая никому не нужна. То есть эта информация не является значимой. Однако, кто-то может украсть у вас не информацию, а Интернет-трафик.
Это означает, что вам необходимо остановить несанкционированные подключения к вашей точке доступа, используя фильтрацию по физическому адресу (MAC адреса). Это минимальный уровень безопасности, который вы можете применить. Тем не менее, данный способ не защитит ваши данные от «прослушивания» в эфире. Таким образом, сочетание фильтрации по физическому адресу и кодирования данных предоставит вам тот уровень защиты, который вам необходим. Такой способ не требует никакого вмешательства с вашей стороны — как только вы настроили точку доступа и беспроводных клиентов — они могут начать работу.
Но нет правильного или неправильного ответа на вопрос того, сколько безопасности и защиты достаточно — только Вы можете дать ответ, основанный на ваших индивидуальных обстоятельствах.
Необходимый уровень безопасности обычно уже встроен производителям в стандартную беспроводную сеть. Рассмотрим это на примере продукции семейства U.S. Robotics Wireless Turbo. Есть несколько шагов, которые позволяют минимизировать риск взлома вашей сети. Первым делом, установленным беспроводным устройствам необходимо сменить настройки, потому что хакеры могут легко обнаружить вашу точку доступа и знать типовые параметры по умолчанию.
ESSID — это идентификатор точки доступа или как его еще называют имя беспроводной сети. У продукции U.S. Robotics ESSID обычно соответствует номеру модели устройства. Так, например, ESSID беспроводного маршрутизатора по умолчанию соответствует USR8054, а у многофункциональной точки доступа ESSID по умолчанию соответствует USR5450. Вы можете изменить имя беспроводной сети на любую строку в зависимости от вашей фантазии. Думайте об этом как о пароле, используя длинные имена и сочетание букв и цифр, в этом случае гораздо сложнее взломать вашу сеть. После этого сконфигурируйте вашу точку доступа таким образом, чтобы она не транслировала в радио эфир свой ESSID. В этом случае только авторизованные пользователи знающие ESSID вашей точки доступа и номер канала смогут к ней подключиться.
Авторизация пользователей веб-интерфейса
беспроводного маршрутизатора.
Кроме того, можно порекомендовать, когда вы не пользуетесь беспроводной сетью долгое время, уезжая из дома или отправляясь из офиса на уикенд или в отпуск — выключайте питание всех точек доступа. Это минимизирует шансы хакеров атаковать вашу сеть, когда она не находиться под присмотром системных администраторов.
Финальным уровнем защиты в беспроводных сетях является индивидуальная аутентификация пользователей с помощью протокола the 802.1x. Если такой протокол включен, неавторизованные пользователи не смогут получить доступ к остальной сети через точку доступа. Этот протокол уже встроен в Windows XP и включен в следующее поколение стандартов беспроводной безопасности.