5 мифов о безопасности Wi-Fi, основные стандарты Wi-Fi
Опубликовано: 30.06.2023
5 мифов о безопасности Wi-Fi, основные стандарты Wi-Fi
Миф № 1. Не транслируйте свой SSID
Каждому устройству доступа Wi-Fi (маршрутизатору, точке доступа) назначается как минимум один сетевой идентификатор с техническим названием SSID (идентификатор набора услуг). По умолчанию маршрутизатор транслирует SSID в специальных сетевых фреймах (сообщениях), называемых «маяками» — благодаря этому близлежащие клиентские устройства могут обнаруживать беспроводную сеть и подключаться к ней. Программное отключение вещания SSID (теоретически) гарантирует, что только устройства, «знающие» о сети в пределах своего радиуса действия, смогут подключиться к ней. Другие пользователи не будут знать о существовании нашей сети, поэтому она не будет уязвима для попыток сканирования, взлома и т.д. На практике отключение трансляции SSID не делает сеть невидимой, она просто не будет обнаруживаться некоторыми устройствами. Хакеры легко обнаруживают наличие «скрытой» сети — более того, сам факт ее скрытости может быть стимулом для взлома (если она скрыта, может быть, в ней есть что-то интересное?). Скрытие сети не влияет на возможность прослушивания всех остальных сообщений, включая подключение и отключение устройств к/от сети, пакеты данных и т.д. Сканеры Wi-Fi, такие как Kismet или CommView for WiFi, смогут обнаружить скрытый SSID немедленно. Итог: используя эту технику, вы можете скрыть свою сеть Wi-Fi от соседа, но не от подростка-взломщика-любителя.
Миф № 2. Необходимо включить фильтрацию MAC-адресов
Каждое сетевое устройство, включая устройства Wi-Fi, имеет уникальный аппаратный адрес — MAC (Media Access Control). MAC-адрес представляет собой строку шестнадцатеричных цифр, например 00:02:D1:1A:2D:12. MAC используется для определения отправителя и получателя пакета данных (фрейма). Популярный миф заключается в том, что, фильтруя сетевой трафик, разрешая только известные MAC-адреса (то есть только известные нам устройства), мы устраняем нежелательных и потенциально опасных пользователей. Пользователь, использующий устройство с адресом, которого нет в списке разрешенных, не получит доступ к сети, даже если знает пароли.
Установить MAC-фильтрацию просто, но кропотливо - приходится добавлять в список MAC-адреса всех известных и разрешенных устройств (ПК, телефоны, планшеты и т.д.) и самое хлопотное - постоянно обновлять список! MAC-фильтрация бесполезна по одной причине: MAC-адрес легко изменить программно, хакер может легко подслушать сетевой трафик Wi-Fi, определить адреса разрешенных устройств, а затем изменить адрес своего компьютера на известный и разрешенный. адрес. Подводя итог: фильтрация по MAC-адресу предотвратит доступ пользователя, который случайно узнает пароль, но не остановит обычного взломщика. Таким образом, черный список MAC-адресов ничего не добавляет к безопасности, это просто дополнительная нагрузка и пустая трата времени для администраторов.Миф № 3. Ограничьте размер пула IP-адресов
Каждое сетевое устройство имеет уникальный сетевой адрес — IP (от «Internet Protocol»). В отличие от MAC-адреса, который (по крайней мере, теоретически) неизменяем и присваивается производителем, IP-адрес определяется администратором на более длительный период времени, либо присваивается динамически — чаще всего это происходит в сетях Wi-Fi, где IP-адрес назначается через маршрутизатор. Маршрутизатор использует встроенный сервер DHCP (Dynamic Host Control Protocol) для назначения IP-адресов из заданного пула любому устройству, успешно прошедшему процесс авторизации и включенному в сеть. Популярный миф заключается в том, что доступный пул адресов должен быть минимальным, т.е. учитывать как можно меньше IP-адресов. Это неверно, и причина будет указана в следующем разделе.
Миф № 4. Следует полностью отключить службу DHCP-сервера
Этот миф связан с предыдущим и является его логическим следствием — согласно этому утверждению, от динамического выделения IP-адресов следует полностью отказаться и назначать каждому устройству статически. Аргументация аналогична мифу 2 относительно MAC-адресов — через статические IP-адреса мы сможем контролировать доступ устройств в сеть и не будем пускать неизвестные нам устройства. Причина, по которой это утверждение и предыдущий миф № 3 являются ложными, аналогична фильтрации MAC-адресов — взломщик может легко узнать используемые IP-адреса и выдать себя за юридический — статически назначенный адрес. В случае «столкновения» адресов «легитимного» устройства и взломщика взломщик может легко деактивировать сетевой интерфейс легитимного устройства. Подытожим: ограничение пула динамических адресов или полное отключение службы DHCP усложнит жизнь администратору, а не хакерам.
Миф № 5. В маленькие сети сложнее проникнуть
Это утверждение предполагает, что снижение мощности передатчика Wi-Fi затруднит обнаружение сети и, следовательно, ее труднее взломать. Меньшая мощность передатчика физически ограничит радиус действия хакеров. Это самое голословное суждение из всех приведенных ранее - взломщик может использовать направленную антенну или оборудование чуть более высокого класса. Уменьшение уровня сигнала только усложнит жизнь законным пользователям сети, которые будут бороться со слабым или пропадающим сигналом. Такие действия никак не повысят безопасность нашей инфраструктуры.
Вместо мифа - факт - только правильно реализованное шифрование обеспечит безопасность сети Wi-FiПосле опровержения популярных мифов пришло время фактов — как эффективно обезопасить беспроводную сеть? Правильным решением является реализация криптографической безопасности передачи, обычно именуемой «шифрованием данных» — на самом деле безопасность, описанная ниже, состоит не только в шифровании данных, но и в их защите от модификации (контроль целостности) и в проверке подлинности пользователи.
Сети Wi-Fi поддерживают несколько режимов криптографической защиты: WEP, WPA и WPA2 — каждый из них в нескольких подвариациях. В настоящее время WPA2 следует рассматривать как единственный безопасный режим. Если ваше устройство не поддерживает WPA2 (что в наши дни встречается довольно редко), вам следует подумать о его замене. В домашних сетях WPA2 используется в режиме PSK (Pre-Shared Key) — т.е. с фиксированным статическим паролем. В офисных или промышленных сетевых средах использование PSK не рекомендуется — пароль, известный слишком большому количеству пользователей, уже не является паролем. Вместо PSK рекомендуется использовать режим WPA2/Enterprise с использованием дополнительного внешнего сервера авторизации – его можно интегрировать с доменом Microsoft Windows или другой системой проверки личности пользователей, например, чип-карт, аппаратных токенов и т.п. корпоративной сети, режим PSK должен быть зарезервирован только для гостевой службы.
Взято из статьи «5 мифов о безопасности Wi-Fi, от которых нужно отказаться прямо сейчас» http://www.pcworld.com/article/2052158/5-wi-fi-security-myths-you-must-abandon-now.html