Защита WIFI сети от злоумышленников.

Мы много писали на наших стараницах в взломе WIFI и различных методах атаки. Давайте сегодня остановимся на немного другой теме и поговорим о обратной стороне. В данном материале вы узнаете что такое защита WIFI сети от злоумышленников и как активно противостоять хакерам которые пытаются взломать ваш роутер.

Основы защиты беспроводных сетей

Безопасность беспроводной сети специально создана для того, чтобы неавторизованные пользователи не могли получить доступ к вашей беспроводной сети и украсть конфиденциальную информацию. Тип беспроводной безопасности, которую использует отдельный пользователь, определяется его беспроводным протоколом.

Сегодня многие дома и компании работают и полагаются на беспроводные сети. Wi-Fi невероятно эффективен для поддержания пользователей подключенными к интернету 24 часа в сутки каждый день недели. Вышеупомянутое преимущество в сочетании с тем, что он поставляется без помех, делает беспроводную сеть еще более привлекательной.

Однако есть и другая сторона, поскольку сигналы Wi-Fi могут транслироваться за пределами дома или компании. Это означает, что Wi-Fi уязвим для хакеров; увеличивая легкий доступ людей в соседних домах или даже людей на соседней парковке. Вот тут-то и возникает важность обеспечения надежной беспроводной безопасности.

Вы можете задаться вопросом, что представляет собой опасность, если она вообще существует, для других людей, имеющих доступ к вашему Wi-Fi. Ну, есть ряд опасностей для уязвимой беспроводной сети. Например, хакеры смогут получить доступ к личной информации, украсть вашу личность и использовать ее против вас. Были случаи, когда люди попадали в тюрьму за преступление, которое они не совершали через интернет.

Когда другие люди смогут получить доступ к вашему Wi-Fi, скорее всего, ваш ежемесячный счет резко возрастет. Кроме того, другие люди, использующие ваше Wi-Fi соединение без вашего разрешения, значительно снизят скорость доступа в Интернет. В современную цифровую эпоху, когда Интернет является местом, где живут недобросовестные люди, безопасность Wi-Fi не может быть занижена.

Нетрудно защитить ваш Wi-Fi. В этой статье мы расскажем вам, как эффективно защитить сеть Wi-Fi и защитить себя и всех остальных пользователей в вашем доме или офисе от взлома. Первый шаг — рассмотреть тип безопасности вашего Wi-Fi.

Какого типа безопасности имеет ваш WiFi?

Первый шаг к тому, как обезопасить сети Wi-Fi от неавторизованных пользователей, — проверить тип безопасности, используемый вашей Wi-Fi.

Примечательно, что существует как минимум четыре беспроводных протокола, которые включают в себя:

• Wired Equivalent Privacy (WEP)
• Защищенный доступ Wi-Fi (WPA)
• Защищенный доступ Wi-Fi 2 (WPA 2)
• Защищенный доступ Wi-Fi 3 (WPA 3)

Прежде чем мы сможем подробно изучить упомянутые выше беспроводные протоколы, важно научиться определять тип используемой беспроводной безопасности. Помните, что тип вашей беспроводной сети будет WEP, WPA, WPA2 или WPA3. Ниже приведены инструкции по проверке типа используемой беспроводной безопасности:

• Зайдите в настройки подключения Wi-Fi на вашем телефоне
• В списке доступных сетей найдите свою конкретную беспроводную сеть.
• Нажмите на нее, чтобы получить доступ к конфигурации сети
• Конфигурация сети должна указывать тип используемой вами беспроводной защиты.
• Если вы не можете выполнить вышеупомянутые действия на своем телефоне, попробуйте получить доступ к настройкам Wi-Fi на беспроводном маршрутизаторе.
• Если у вас возникли проблемы, обратитесь за помощью к вашему интернет-провайдеру.

Однако более простой способ проверки на шифрование — использование приложения, известного как NetSpot, которое считается лучшим в отрасли. После того, как вы определили тип безопасности вашего Wi-Fi, вы должны убедиться, что он использует эффективный беспроводной протокол.

Что такое беспроводные протоколы безопасности?

Беспроводные протоколы предназначены для защиты беспроводных сетей, используемых в домах и зданиях других типов, от хакеров и неавторизованных пользователей. Как упоминалось ранее, существует четыре протокола безопасности беспроводной сети, каждый из которых отличается по силе и возможностям. Беспроводные протоколы также шифруют личные данные, передаваемые по радиоволнам. Это, в свою очередь, защищает ваши личные данные от хакеров и непреднамеренно защищает вас.

Ниже подробно рассматривается тип беспроводных протоколов, о которых должен знать каждый:

• Wired Equivalent Privacy (WEP): это первый протокол безопасности беспроводной связи, когда-либо разработанный. Несмотря на то, что он был разработан в 1997 году, он все еще используется сегодня. Несмотря на это, он считается наиболее уязвимым и наименее безопасным протоколом безопасности беспроводной сети.

• Защищенный доступ Wi-Fi (WPA): этот беспроводной протокол безопасности предшествует WEP. Следовательно, он предназначен для устранения недостатков, обнаруженных в протоколе WEP. В частности, для шифрования используется протокол целостности временного ключа (TKIP) и предварительный ключ (PSK).

• Защищенный доступ Wi-Fi 2 (WPA 2): WPA 2, преемник WPA, обладает расширенными функциями и возможностями шифрования. Например, WPA 2 использует протокол кода аутентификации цепочки сообщений (CCMP) шифровального режима счетчика вместо (TKIP). Известно, что эта функция замены эффективна при шифровании данных. Следовательно, WPA 2 считается лучшим протоколом безопасности беспроводной сети.

• Защищенный доступ Wi-Fi 3 (WPA 3): это недавний беспроводной протокол. Он улучшен с точки зрения возможностей шифрования и защиты хакеров от частных и общедоступных сетей.

Учитывая вышеприведенную информацию, было бы лучше убедиться, что ваш беспроводной протокол является WPA 2 или WPA 3. Если это не так, вы можете легко изменить свой протокол Wi-Fi на WPA 2. Никогда не используйте WEP для шифрования вашего беспроводная сеть, так как она очень слабая и неэффективная в лучшем случае.

Теперь, учитывая все вышесказанное, ниже приведены лучшие советы по безопасности WiFi.

• Проверка мошеннических точек доступа Wi-Fi. Мошеннические точки доступа представляют серьезную угрозу безопасности, поскольку они обеспечивают доступ для хакеров. Лучший способ — провести опрос сайтов Wi-Fi в вашем доме или в здании компании. Лучшее приложение для этого — приложение NetSpot. Это приложение не только обнаруживает мошеннические точки доступа, но и эффективно избавляется от них.

• Усиление шифрования Wi-Fi: чтобы усилить шифрование Wi-Fi, вам необходимо идентифицировать беспроводной протокол, как мы видели выше. Использование NetSpot поможет определить ваш тип шифрования.

• Безопасный пароль WPA 2: Измените пароль WPA 2 на что-то незаметное. Чтобы убедиться, что ваш пароль надежный, используйте разные символы и цифры.

• Скрыть имя сети. Идентификатор вашего набора служб или SSID часто настроен на передачу имени вашей беспроводной сети. Это увеличивает вашу уязвимость. Вы можете легко переключиться на «скрытый», что затруднит для кого-либо подключение к нему, если они не знают тогда название вашей беспроводной сети.

Click to rate this post!

[Total: 3 Average: 5]

Как защитить от взлома корпоративные сети Wi-Fi

Сети стандарта 802.

11 широко используются как дома, так и в корпоративных сетях за счет своего удобства. Однако они являются уязвимыми к взлому, поэтому необходимо понимать, каких настроек безопасности хватит для домашнего использования и как защищаться в корпоративной среде.

 

 

 

 

 

1. Введение
2. О дефолтной защите Wi-Fi
3. Атаки на Wi-Fi глазами вардрайвера
4. Атака на WPS
5. Перехват headshake
6. Evil Twin
7. Итог взлома
8. Взлом дополнительной защиты
9. Безопасности WI-FI в корпоративной среде
10. Выводы

 

Введение

Считается, что безопасность и удобство лежат на разных чашах одних весов. То же самое и относится к сети Wi-Fi: удобно, но не очень безопасно. Уповая на ограниченный радиус действия этой технологии или от недостатка знаний часто специалисты информационной безопасности или системные администраторы не проявляют должной осмотрительности в этом направлении. А ведь такая точка доступа — это дверь в корпоративную сеть и лакомый кусочек для хакеров.

Хакеров, которые профессионально занимаются взломом сетей Wi-Fi, называют вардрайверы. Это целая субкультура, у которой есть свои форумы в подпольных уголках интернета и хорошие знания данной технологии. А потому необходимо знать, как происходит взлом сети, и постараться защитить свою беспроводную сеть так, чтобы ее взлом становился нецелесообразным по времени и трудозатратам.

 

О дефолтной защите Wi-Fi

На данный момент самым популярным методом защиты и шифрования трафика Wi-Fi является WPA2 (Wi-Fi Protected Access v.2).

WPA3 уже появилась, но еще толком не введена в эксплуатацию, хотя уже и была взломана хакерами атакой DragonBlood. Эта атака не очень сложная в воспроизведении, и за счет манипуляций с таймингами и побочным кешем позволяет узнать пароль от Wi-Fi. Поэтому самой безопасной все же остается WPA2, которой и рекомендуется пользоваться на сегодняшний день.

Сама же WPA2 бывает двух видов: PSK (Pre-Shared Key) и Enterprise. PSK использует для авторизации пароль (минимум 8 знаков) и применяется в основном в домашних условиях или небольших офисах. Enterprise же в свою очередь использует авторизацию с дополнительным сервером (как правило, RADIUS).

Также стоит упомянуть технологию WPS (Wi-Fi Protected Setup). Это упрощенный метод авторизации устройств с точкой доступа Wi-Fi, основанный на PIN-коде. Но, как уже было сказано — чем удобнее, тем менее безопасно, поэтому эту функцию рекомендуется отключать, если в ней нет крайней необходимости.

 

Атаки на Wi-Fi глазами вардрайвера

Для взлома сети Wi-Fi из софта можно использовать практически любой дистрибутив Linux, собранный для тестирования на проникновение. Это может быть всем известные Kali Linux, Black Arch или Parrot. Также есть специально собранный под это дистрибутив WifiSlax. С точки зрения атаки на беспроводные сети эти дистрибутивы объединяет пропатченное ядро для корректной работы программы aircrack-ng.

Из железа необходимо иметь лишь Wi-Fi-карту, которая поддерживает режим мониторинга. Они обычно сделаны на базе чипа Atheros, моделей ar*.

 

Атака на WPS

Самый первый шаг взлома сети Wi-Fi — это сканирование на наличие включенной функции WPS. Это можно сделать с телефона на операционной системе Android. Программа WPSApp не только «видит» активный WPS. На борту есть небольшая база дефолтных pin-кодов нескольких производителей (его можно узнать по MAC-адресу), которые можно попробовать автоматически подобрать. И если хакер оказывается в уверенном приеме 2-3 точек доступа с включенным WPS, то через 10-20 минут при определенной доле везения он получит доступ к одной из них, не прибегая к помощи компьютера.

 

Рисунок 1. Интерфейс программы WPSApp

 

Если такой способ не увенчался успехом, все же придется воспользоваться ноутбуком.

Чтобы просканировать доступные точки доступа, необходимо перевести сетевую карту в режим мониторинга, для чего и нужен aircrack-ng.

airmon-ng start wlan0

После этого появится новый беспроводной интерфейс (как правило, wlan0mon). После этого можно узнать, на каких роутерах включен WPS:

wash –i wlan0mon

 

Рисунок 2. Результат программы wash

 

 

После этого хакер начинает атаковать цель. Атаки на WPS нацелены на получение PIN-кода для авторизации. Многие роутеры до сих пор подвержены атаке Pixie-Dust, которая в случае успеха выдает PIN-код и пароль за 5-15 секунд. Осуществляется такая атака программой reaver:

reaver -i wlan0mon -b 7C:8B:CA:4B:DF:CE -K

Если Pixie-Dust не смог взломать WPS, то можно его попробовать подобрать брутфорсом. Это осуществляется той же самой программой:

reaver -i wlan0mon -b 7C:8B:CA:4B:DF:CE -c 5 –v

 

Рисунок 3. Работа программы reaver

 

 

Такая атака занимает до 30 часов, если точка доступа не заблокирует запросы по таймауту. Защиту от таких атак пользователь настроить не может, она заложена в прошивке роутера. Поэтому необходимо обновлять программное обеспечение до новых версий.

 

Перехват headshake

Зачастую функция WPS на роутере все же выключена, поэтому взлом немного усложняется. Теоретически атака проходит так: при повторном подключении к точке доступа клиент передает так называемый headshake, в котором содержится хеш пароля. Хакеру необходимо прослушивать трафик этой сети и разорвать авторизованную сессию между клиентом и точкой доступа, тем самым заставить передать headshake. В момент передачи он перехватывается, и расшифровывается пароль методом атаки по словарю, или брутфорсом.

Практически это делается следующими командами:

airmon-ng start wlan0

airodump-ng wlan0mon

 

Рисунок 4. Мониторинг эфира Wi—Fi

 

 

Появятся все доступные точки доступа с уровнем сигнала, номером канала и другой полезной информацией. Далее выбираем точку доступа и запускаем мониторинг эфира:

airodump-ng -c 1 --bssid E8:94:F6:8A:5C:FA -w /root/wifi wlan0mon

Следующим шагом необходимо «отсоединить» клиентов от сканируемой точки доступа. Для этого, не прекращая сканирования, в новом терминале вводим команду:

aireplay-ng --deauth 1000 -a E8:94:F6:8A:5C:FA   wlan0mon

После этого остается ждать, когда клиенты начнут заново пытаться авторизоваться, и в терминале сканирования появится надпись, символизирующая успешный перехват «рукопожатия».

 

Рисунок 5. Перехват «рукопожатия»

 

Осталось взломать хеш пароля. Для этого есть много онлайн-сервисов в глобальной сети, либо, если позволяют вычислительные ресурсы, можно попробовать сделать это на локальном компьютере.  

hashcat -m 2500 /root/hs/out.hccap /root/rockyou.txt

Если все грамотно настроено, то перебор может достигать до 1 миллиона комбинаций в секунду.

 

Evil Twin

Существует еще один вид атаки, который основан не только на технических моментах, но и на социальной инженерии. Смысл его заключается в том, чтобы заглушить основную точку доступа, развернуть со своего компьютера точно такую же (тот же MAC-адрес, такой же SSID), и обманным путем заставить пользователя ввести пароль, который будет перехвачен. Но для этого необходимо находиться недалеко от клиента, чтобы прием был достаточно сильный.

Для этого приема изобретено достаточно много программ, которые автоматизируют процесс, например wifiphisher. После запуска и создания точки доступа клиент подключается к ней и пробует зайти на любой сайт. Его запрос перенаправляется на локальную страницу хакера, где есть поле для ввода пароля от сети. Оформление страницы зависит от навыков социальной инженерии. К примеру, просьба обновить программное обеспечение для роутера и необходимость ввести пароль от Wi-Fi — придумано может быть что угодно.

 

Итог взлома

Остается лишь сделать небольшую ремарку по данному материалу: приведенный пример охватывает лишь необходимый минимум настроек программ для совершения данной операции. На самом деле, для описания всех опций, методов и хитростей придется написать книгу.

Что касается ограниченного радиуса действия, то это тоже не проблема для хакеров. Существуют узконаправленные антенны, которые могут принимать сигнал издалека, несмотря на ограниченность модуля Wi-Fi-карты. Программными способами ее можно разогнать до 30 dBm.

 

Взлом дополнительной защиты

Существуют дополнительные меры защиты беспроводной сети. На сайте «Лаборатории Касперского» опубликованы рекомендации, как сделать сеть более безопасной, но это подойдет больше для сфер применения WPA2 PSK. И вот почему:

1. Какой бы сложный пароль для авторизации ни был, при использовании радужных таблиц и хороших вычислительных ресурсов расшифровка пароля не будет помехой.
2. При использовании скрытого имени сети его не видно только в штатном режиме работы карты. Если запустить режим мониторинга, то SSID виден.

Что касается фильтрации MAC-адресов, то на роутере есть функция, которая позволяет задать определенные адреса, тем самым разрешить подключение к сети. Остальные устройства будут отвергнуты. Эта дополнительная защита сама по себе предполагает наличие у злоумышленника пароля.

Но и эту защиту можно обойти. При мониторинге конкретной точки доступа видно MAC-адреса клиентов, которые подключены.

 

Рисунок 6. MAC-адрес клиента, подключенного к точке доступа

 

 

Меняем MAC-адрес нашего сетевого интерфейса программным путем:

 ifconfig wlan0 down

 macchanger -m 00:d0:70:00:20:69 wlan0

 ifconfig wlan0 up

 macchanger -s wlan0

После этого MAC-адрес будет как у уже подключенного клиента, а это значит, что ему разрешено подключение. Теперь посылаем пакеты деавторизации данного клиента:

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:d0:70:00:20:69  wlan0mon

В тот момент, когда устройство отключится от сети, у хакера будет возможность подключиться к ней.

Безусловно, все приведенные рекомендации влияют на защищенность сети, так как они ставят палки в колеса хакерам, и просто ради интернета он не будет так усложнять себе жизнь. Но если говорить о крупных компаниях, то приведенные выше примеры доказывают, что WPA PSK не способна предоставить соответствующей защиты.

 

Безопасности WI-FI в корпоративной среде

Выше упоминалась разница WPA2 PSK и Enterprise. Однако есть еще существенное различие между этими технологиями: PSK использует методы шифрования трафика на основе пароля. Однако хакерам удалось, используя атаку KRACK, расшифровывать трафик без пароля, что позволяет слушать эфир и перехватывать пакеты без авторизации в сети, что вызывает классическую MITM-атаку.

Enterprise использует шифрование трафика на основе внутреннего ключа и сертификата, который генерирует сервер авторизации. Используя эту технологию, каждый пользователь имеет свой логин и пароль от корпоративной сети Wi-Fi. Настройки осуществляются очень тонко: каждому пользователю можно предоставить или запретить те или иные ресурсы, вплоть до определения vlan, в котором будет находиться устройство клиента. Атака KRACK не способна расшифровать трафик WPA2 Enterprise.

Если резюмировать все нюансы, то при использовании PSK базовый минимум защиты — это максимально возможная защита роутера. А именно:

1. Отключение WPS.
2. Сложный пароль от 10 символов, включающий цифры, буквы и спецсимволы (желательно менять раз в квартал).
3. Ограничение всех MAC-адресов, кроме допустимых.
4. Скрытая SSID.
5. Ограничение Wi-Fi-сети от общей корпоративной сети функциями vlan.

При использовании Enterprise достаточно сложных паролей и нестандартных логинов для клиентов, плюс свой сертификат шифрования трафика. Брутфорс «на живую» будет не эффективен, так как проходить будет очень медленно, а расшифровать трафик, не имея ключа, не получится.

 

Выводы

В статье были рассмотрены способы взлома Wi-Fi, и доказано, что это не так уж сложно. Поэтому, если пользоваться PSK — то защита беспроводной сети должна быть на самом высоком уровне, чтобы хакер потерял интерес еще до того, как он ее взломает. Но это не решает проблемы, например, уволенных сотрудников, поэтому лучше пароль время от времени менять.

При использовании Enterprise взлом маловероятен, и уволенные сотрудники не страшны, так как можно их блокировать (у каждого своя, тонко настроенная учетная запись).

Какую выбрать защиту сети Wi-Fi от несанкционированного доступа

Ряд пользователей откровенно безответственно относятся к безопасности собственной беспроводной сети и защите самого оборудования для раздачи Интернета. Им кажется, что никому их сеть не нужна, и никакой угрозы нет.

На самом деле это большое заблуждение. Если не установить надёжную защиту, можно столкнуться с серьёзными неприятностями.

Поэтому самым правильным будет вопрос о том, как именно создать надёжную защиту и какие методы при этом можно использовать.

В чём опасность

Для начала коротко о том, почему незащищённое подключение или роутер без защиты могут стать потенциально серьёзной проблемой и большой опасностью для владельца сети.

Но в чём именно опасность, многие не понимают. Здесь есть следующие возможные сценарии и угрозы:

• Размещение сторонними пользователями провокационного и противозаконного контента. Воспользовавшись чужой сетью, вся ответственность ляжет на того, на кого оформлен договор. Ведь вычислить нарушителя не составит труда. И попробуй потом докажи, что это не ты разместил эти видео, лозунги и прочий контент.
  
• Затраты трафика и снижение скорости работы Интернета. Самая безобидная ситуация, когда халявщики пользуются чужой сетью, сидят в Интернете, загружают какие-то файлы. За всё это платите вы, плюс заметно теряете в скорости.
  
• Сброс до заводских настроек. Какой-то шутник получил доступ не только к Wi-Fi, но ещё и к роутеру. А это сделать не так сложно. В итоге он сбросил настройки до заводских. Из-за этого владельцу оборудования придётся настраивать подключение заново.

  Такой пароль используется для входа в панель управления многих маршрутизаторов. И с такими данными может оказаться ваш.

• Замена логина и пароля. А может быть и так, что злоумышленник или просто сосед-недоброжелатель поменяет настройки доступа к роутеру и зайти в меню уже не получится.

Вряд ли существует 100% защита от взлома. В особенности если такие попытки совершаются целенаправленно и настоящими специалистами в этой сфере.

Но если говорить про обычного пользователя, который закономерно не хочет делиться Интернетом с соседями, то ему достаточно залатать несколько явных дыр в защите доступа, и на этом вполне будет достаточно.

Основные способы защиты

Теперь непосредственно к вопросу о том, какую защиту сети Wi-Fi можно выбрать для своего Интернета и оборудования, обеспечивающего беспроводной доступ.

Вариантов достаточно много. Но все существующие меры защиты можно условно разделить на основные и дополнительные. Хотя лучше всего использовать их совместно, комбинируя и сочетая наиболее приемлемым для пользователя образом.

Основной задачей является защита от возможного постороннего подключения соседей и прочих халявщиков к Wi-Fi сети, а также безопасность самого оборудования.

Чтобы исключить несанкционированный доступ, и не сделать подключение к своему Wi-Fi простейшей задачей, можно применить следующие методы.

Пароль для роутера

Если вы только приобрели роутер, маловероятно, что в его настройки вносились какие-то изменения. А сделать это нужно, чтобы защитить свой Wi-Fi от наглых соседей.

Перед тем как поставить защиту на саму сеть Wi-Fi, необходимо обезопасить роутер. Обычно для доступа к его настройкам используют стандартный логин и пароль, прописанный на задней крышке или на дне корпуса оборудования. Узнать эти пароли и логины не составит труда, поскольку они даже находятся в открытом доступе. Подобрав несколько стандартных для производителя вариантов, злоумышленник легко разгадает загадку.

Поэтому на Wi-Fi роутер обязательно стоит поставить хорошую защиту. А для этого нужно войти в настройки под стандартным логином и паролем, открыть раздел с изменением данных и прописать там собственный придуманный логин и максимально сложный, но легко запоминающийся, пароль.

СОВЕТ. Не рекомендуется использовать такие пароли и логины, которые вы не можете запомнить, и вводить их приходится по бумажке. Эту бумажку могут увидеть посторонние люди, либо она легко потеряется.

После этого восстанавливать доступ будет ещё сложнее.

Надёжное имя SSID

Чтобы защитить собственный Wi-Fi от посторонних других пользователей, также рекомендуется задействовать уникальное название оборудования.

Изменить его можно в настройках роутера, открыв раздел «Основные настройки». Хотя на некоторых моделях меню может несколько отличаться. Главное — найти раздел, где можно задать и поменять имя своей беспроводной сети.

Нельзя сказать, что это в полной мере сумеет защитить вашу домашнюю WiFi сеть от любого несанкционированного доступа, если не применить дополнительные методы, но при комплексном подходе к построению оборонительных рядов это обязательный шаг. Не игнорируйте его.

Пароль от Wi-Fi

Если вы поменяете пароль и логин для доступа к роутеру, и параллельно установите сильный код на саму беспроводную сеть, вряд ли соседям удастся добраться до халявного Интернета.

ВНИМАНИЕ. Если оставить стандартный пароль от роутера, тогда злоумышленник без проблем сможет его взломать и самостоятельно поменять пароль от беспроводной сети.

Как видите, одно без второго имеет минимальную силу в плане обеспечения защиты. А в комплекте это позволяет получить серьёзный результат.

Невидимая сеть

Также, чтобы защитить свою домашнюю сеть беспроводного Интернета по технологии Wi-Fi, можно вообще сделать её невидимой. Это вовсе не так сложно.

Смысл задачи в том, чтобы при включении поиска доступных сетей у посторонних людей в списке не отображалась ваша беспроводная сеть. Если внести соответствующие изменения в настройки, для прочих гаджетов ваш Wi-Fi станет невидимым и недоступным.

Для этого потребуется открыть настройки роутера, перейти в раздел настройки беспроводного режима. Здесь должен присутствовать пункт вроде Enable SSID Broadcast. Речь идёт о включении широковещания сети. Нужно убрать флажок или отключить эту функцию, и сохранить изменения.

Данный параметр отключает отображение вашей сети.

Нужно лишь проверить, поддерживает ли конкретно ваш роутер подобную функцию. На большинстве современных моделей она присутствует.

Отключение WPS

Если вы решите защитить собственную сеть WiFi надёжным паролем, но при этом активируете функцию WPS, все старания по придумыванию сложного кода доступа окажутся напрасными.

Злоупотреблять включением WPS не стоит. Да, это удобная технология, позволяющая подключиться к сети без пароля. Но прибегать к её помощи стоит лишь в крайних случаях. А по возможности вообще её отключать.

Отключить саму опцию WPS не сложно. Это делается через настройки роутера в разделе WPS.

Шифрование

Чтобы установить действительно надёжную защиту для своей Wi-Fi сети, обязательно нужно выбрать соответствующий вариант шифрования.

Если шифрование будет слабым, перехватить данные со стороны злоумышленников окажется довольно простой задачей. Бывает так, что даже при подключении к домашней сети на экране устройства появляется сообщение об использовании слабого шифрования.

В этой ситуации нужно внести соответствующие изменения в настройки. Выполнив подключение к меню роутера, в разделе защиты беспроводного соединения рекомендуется задать следующие параметры:

• выбрать WPA-WPA2 Personal;
• в поле «Версия» установить значение WPA2 PSK;
• в разделе с шифрованием установить вариант AES.

Это примерный вариант, как меняются настройки на роутерах TP-Link. Оборудование других производителей может несколько отличаться, но общие принципы изменения параметров остаются неизменными.

Фильтрация МАС-адресов

Все устройства, у которых имеется сетевой интерфейс, либо сетевая карта, обладают собственным МАС-адресом.

Поэтому пользователь может сформировать перечень доверенных адресов, которые смогут подключаться к вашей беспроводной сети. Это относится к компьютеру, ноутбуку, смартфонам, планшетам и пр. Если же вы сумели обнаружить МАС-адрес соседа или стороннего пользователя, который пытался подключиться без разрешения, его адрес можно просто добавить в список запрещённых. Как бы он ни пытался, выполнить подключение ему теперь не удастся с этого МАС-адреса.

Но лучшим решением будет сформировать именно список доверенных адресов, а для всех остальных ограничить доступ. По мере необходимости, если в доме появятся новые гаджеты, их МАС просто добавляются в ранее созданный белый список.

Для соответствующих изменений достаточно открыть настройки роутера, перейти в раздел беспроводного режима и уже там отыскать пункт с фильтрацией МАС-адресов.

Радиус действия сети

В основном, чтобы беспроводная сеть дотягивала сигнал до самых удалённых точек квартиры или дома, включается максимальная мощность передатчика.

Но если квартира небольшая, либо же сам маршрутизатор очень мощный, то сигнал без проблем будет доходить до соседей, выходить на улицу. Это открывает дополнительные возможности для несанкционированного доступа.

Уменьшив радиус действия сигнала беспроводной сети, он станет доступным только в рамках квартиры или дома.

Для изменения соответствующих параметров нужно отыскать раздел с настройками мощности передатчика. Она может меняться путём изменения цифровых значений, либо переходом между режимами Low, Medium и High.

Дополнительные меры

Стоит выделить ещё несколько дополнительных мероприятий, которые помогут во многом усилить и без того надёжную защиту доступа к собственной домашней беспроводной сети.

Как и в предыдущем случае, все эти методы лучше применять в комплекте.

Обновление прошивки

Периодически появляются сообщения о том, что в том или ином роутере, протоколах безопасности были обнаружены очередные уязвимости. И юзеры сразу же начинают думать, что скоро настанет и их очередь взлома, и они в опасности.

На самом деле паниковать не стоит. Сети, которые не имеют никакой особой ценности для злоумышленников, вряд ли будут взламывать. Скорее вопрос к халявщикам-соседям.

Но всё же такая мера как периодическое обновление прошивки будет правильной и необходимой. Некоторые роутеры обновляются просто нажатием кнопки «Обновить» в соответствующем разделе с настройками.

В других случаях нужно на официальном сайте производителя скачать свежую прошивку, затем открыть настройки роутера и обновить его через этот файл.

Максимально ответственно подходите к вопросу выбора прошивки. Если взять неправильный файл, тогда при его загрузке оборудование вовсе может перестать функционировать.

Удалённый доступ

В некоторых случаях это удобная функция, позволяющая управлять и менять настройки роутера через Интернет. То есть не обязательно находиться в собственной домашней сети.

Но для обычного пользователя эта функция даже во многом опасная. Ведь удалённым доступом могут воспользоваться злоумышленники. Поэтому рекомендуется открыть настройки и проверить, выключена ли эта опция.

Гостевой доступ

На некоторых марках и моделях маршрутизаторов (роутеров) присутствует функция, позволяющая создавать дополнительные сети. А точнее подсети, для условных гостей. Причём они не будут иметь никакого отношения к основной беспроводной сети.

Это отличный вариант для тех, кому важна безопасность, но при этом приходится часто давать доступ к сети для гостей, посетителей, друзей.

Если такая функция присутствует на маршрутизаторе, ею стоит воспользоваться.

Роутер и файерволл

Для маршрутизаторов разработчики могут предлагать дополнительные меры и инструменты для обеспечения их защиты. Это касается файерволла, межсетевого экрана, брандмаузера и пр.

Подобные средства специально созданы для того, чтобы препятствовать атакам. Да, для домашнего Интернета это во многом напрасные траты. Но если беспроводная сеть создаётся в рамках офиса, предприятия, где путём взлома можно получить важную и ценную информацию, скупиться на защищённое оборудование не стоит.

Покопавшись в настройках, можно активировать соответствующие инструменты и значительно поднять уровень защиты сети.

Роутер и VPN

Объективно VPN является одним из наиболее эффективных способов, позволяющих защитить данные при передаче по сети Интернет и при беспроводной связи между устройствами.

С помощью VPN создаётся своего рода зашифрованный туннель, связывающий узлы сети.

Увы, но такая функция есть лишь в ограниченном количестве маршрутизаторов. Зато при её наличии данные всех подключаемых устройств действительно будут под надёжной защитой.

Периодическая смена паролей

Поставить надёжный пароль и оставить его навсегда — не лучшая идея.

Правильным решением будет периодически менять коды доступа. Причём это касается не только самой беспроводной сети, но также и паролей от роутера.

Это придаст большей уверенности в безопасности. Поэтому проводить подобные мероприятия рекомендуется с интервалом в 2-3 месяца.

Проверка подключённых устройств

Существует достаточно много методов, позволяющих узнать, кто подключён к вашей беспроводной сети. Это можно сделать через настройки самого роутера, либо запустив специальные утилиты.

Периодическая проверка подключений придаёт уверенности в том, что ни один посторонний девайс не использует ваш Интернет в своих корыстных целях.

Но это также возможность вовремя обнаружить попытку несанкционированного доступа, заблокировать халявщика и оградить себя от возможных последствий его действий.

Специальное оборудование и программы

Если выходить уже за рамки обычной домашней беспроводной сети, а создавать серьёзное подключение, тогда тут не обойтись без специализированного оборудования и надёжного программного обеспечения.

Обычно это необходимо тем, кто хранит на компьютерах важную и очень ценную информацию. Тогда есть смыл обратиться к профильным специалистам.

Подводя итоги

Нет ничего принципиально сложного в том, чтобы организовать надёжное и безопасное подключение к беспроводной домашней сети.

От владельца потребуется поменять стандартные пароли на более надёжные, выбрать современный и эффективный тип шифрования, выключить WPS и активировать доступные дополнительные инструменты защиты.

Чрезмерно увлекаться не стоит. Да, при желании можно вообще сформировать сеть, где всё будет под строгим контролем, а для других юзеров сеть окажется недосягаемой, порой даже невидимой. Но это уже вариант для тех, кто опасается за сохранность важных и ценных данных и рисковать не хочет.

Подписывайтесь, комментируйте, задавайте актуальные вопросы по теме!

Защита WiFi сети — WPA2, WPA и WEP. Безопасность WiFi сетей.

Синоптики предсказывают, что к 2016 году наступит второй ледниковый период
трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше. При таком тренде не может не
радовать то, что 80% владельцев сетей не меняют пароли доступа по умолчанию. В их число входят и сети компаний. Этим циклом статей я хочу собрать воедино описания существующих технологии защит, их проблемы и способы обхода, таким образом, что в конце читатель сам сможет сказать, как сделать свою сеть непробиваемой, и даже наглядно продемонстрировать проблемы на примере незадачливого соседа
(do not try this at home, kids). Практическая сторона взлома будет освещена с помощью Kali Linux
(бывший Backtrack 5) в следующих частях. Статья по мере написания выросла с 5 страниц до 40, поэтому я решил разбить её на части. Этот цикл — не просто инструкция, как нужно и не нужно делать, а подробное объяснение причин для этого. Ну, а кто хочет инструкций — они такие:

Используйте WPA2-PSK-CCMP с паролем от 12 символов a-z
(2000+ лет перебора на ATI-кластере). Измените имя сети по умолчанию на нечто уникальное (защита от rainbow-таблиц). Отключите WPS (достаточно перебрать 10000 комбинаций PIN). Не полагайтесь на MAC-фильтрацию и скрытие SSID.

Оглавление:
1)
Матчасть2)
Kali. Скрытие SSID. MAC-фильтрация. WPS3)
WPA. OpenCL/CUDA. Статистика подбора Но сначала — матчасть.

Передайте мне сахар

Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное. Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем. Остальные — фтопку.

Именно так работает базовая авторизация HTTP (Auth Basic):

AuthType Basic AuthName "My super secret zone!" AuthUserFile /home/.htpasswd Require valid-user  

После успешной авторизации браузер просто-напросто будет передавать определённый заголовок при каждом запросе в закрытую зону:

Authorization: Basic YWRtaW46cGFzcw== 

То есть исходное:

echo -n 'admin:pass' | base64 # YWRtaW46cGFzcw== 

У данного подхода есть один большой недостаток — так как пароль (или логин-пароль, что по сути просто две части того же пароля) передаётся по каналу «как есть» — кто угодно может встрять между вами и клиентом и получить ваш пароль на блюдечке. А затем использовать его и распоряжаться вами, как угодно! Для предотвращения подобного безобразия можно прибегнуть к хитрости: использовать какой-либо двухсторонний алгоритм шифрования, где закрытым ключом будет как раз наш пароль, и явно его никогда не передавать. Однако проблемы это не решит — достаточно один раз узнать пароль и можно будет расшифровать любые данные, переданные в прошлом и будущем, плюс шифровать собственные и успешно маскироваться под клиента. А учитывая то, что пароль предназначен для человека, а люди склонны использовать далеко не весь набор из 256 байт в каждом символе, да и символов этих обычно около 6-8… в общем, комсомол не одобрит. Что делать? А поступим так, как поступают настоящие конспираторы: при первом контакте придумаем длинную случайную строку (достаточно длинную, чтобы её нельзя было подобрать, пока светит это солнце), запомним её и все дальнейшие передаваемые данные будем шифровать с использованием этого «псевдонима» для настоящего пароля. А ещё периодически менять эту строку — тогда джедаи вообще не пройдут
.

Первые две передачи (зелёные иконки на рисунке выше) — это фаза с «пожатием рук» (handshake), когда сначала мы говорим серверу о нашей легитимности, показывая правильный пароль, на что сервер нам отвечает случайной строкой, которую мы затем используем для шифрования и передачи любых данных. Итак, для подбора ключа хакеру нужно будет либо найти уязвимость в алгоритме его генерации (как в случае с Dual_EC_DRBG), либо арендовать сотню-другую параллельных вселенных и несколько тысяч ATI-ферм для решения этой задачи при своей жизни. Всё это благодаря тому, что случайный ключ может быть любой длины и содержать любые коды из доступных 256, потому что пользователю-человеку никогда не придётся с ним работать. Именно такая схема с временным ключом (сеансовый ключ, session key или ticket) в разных вариациях и используется сегодня во многих системах — в том числе SSL/TLS и стандартах защиты беспроводных сетей, о которых будет идти речь.

План атаки

Внимательные читатели, конечно, заметили, что как бы мы не хитрили — от передачи пароля и временного ключа в открытой или хэшированной форме нам никуда не деться. Как результат — достаточно хакеру перехватить передачу на этой фазе, и он сможет читать все последующие данные, а также участвовать в процессе, вставляя свои пять копеек. И отличить его невозможно, так как вся информация, которой бы мог руководствоваться сервер для выдачи временного ключа или проверки доступа базируется именно на том, что было в начале передачи — handshake. Поэтому хакер знает всё то же, что и сервер, и клиент, и может водить обоих за нос, пока не истечёт срок действия временного ключа. Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи. Но это в идеальном мире…

Механизмы защиты Wi-Fi

Технологии создаются людьми и почти во всех из них есть ошибки, иногда достаточно критические, чтобы обойти любую самую хорошую в теории защиту. Ниже мы пробежимся по списку существующих механизмов защиты передачи данных по радиоканалу (то есть не затрагивая SSL, VPN и другие более высокоуровневые способы).

OPEN

OPEN
— это отсутствие всякой защиты. Точка доступа и клиент никак не маскируют передачу данных. Почти любой беспроводной адаптер в любом ноутбуке с Linux может быть установлен в режим прослушки, когда вместо отбрасывания пакетов, предназначенных не ему, он будет их фиксировать и передавать в ОС, где их можно спокойно просматривать. Кто у нас там полез в Твиттер?
Именно по такому принципу работают проводные сети — в них нет встроенной защиты и «врезавшись» в неё или просто подключившись к хабу/свичу сетевой адаптер будет получать пакеты всех находящихся в этом сегменте сети устройств в открытом виде. Однако с беспроводной сетью «врезаться» можно из любого места — 10-20-50 метров и больше, причём расстояние зависит не только от мощности вашего передатчика, но и от длины антенны хакера. Поэтому открытая передача данных по беспроводной сети гораздо более опасна. В этом цикле статей такой тип сети не рассматривается, так как взламывать тут нечего. Если вам нужно пользоваться открытой сетью в кафе или аэропорту — используйте VPN (избегая PPTP) и SSL (https://
, но при этом поставьте HTTPS Everywhere, или параноидально следите, чтобы из адресной строки «внезапно» не исчез замок, если кто включит sslstrip
— что, впрочем, переданных паролей уже не спасёт), и даже всё вместе. Тогда ваших котиков никто не увидит.

WEP

WEP
— первый стандарт защиты Wi-Fi. Расшифровывается как Wired Equivalent Privacy
(«эквивалент защиты проводных сетей»), но на деле он даёт намного меньше защиты, чем эти самые проводные сети, так как имеет множество огрехов и взламывается множеством разных способов, что из-за расстояния, покрываемого передатчиком, делает данные более уязвимыми. Его нужно избегать почти так же, как и открытых сетей — безопасность он обеспечивает только на короткое время, спустя которое любую передачу можно полностью раскрыть вне зависимости от сложности пароля. Ситуация усугубляется тем, что пароли в WEP — это либо 40, либо 104 бита, что есть крайне короткая комбинация и подобрать её можно за секунды (это без учёта ошибок в самом шифровании). WEP был придуман в конце 90-х, что его оправдывает, а вот тех, кто им до сих пор пользуется — нет. Я до сих пор на 10-20 WPA-сетей стабильно нахожу хотя бы одну WEP-сеть. На практике существовало несколько алгоритмов шифровки передаваемых данных — Neesus, MD5, Apple — но все они так или иначе небезопасны. Особенно примечателен первый, эффективная длина которого — 21 бит (~5 символов). Основная проблема WEP — в фундаментальной ошибке проектирования. Как было проиллюстрировано в начале — шифрование потока делается с помощью временного ключа. WEP фактически передаёт несколько байт этого самого ключа вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности ключа раскрыть любую передачу можно просто имея достаточное число перехваченных пакетов (несколько десятков тысяч, что довольно мало для активно использующейся сети). К слову, в 2004 IEEE объявили WEP устаревшим из-за того, что стандарт «не выполнил поставленные перед собой цели [обеспечения безопасности беспроводных сетей]». Про атаки на WEP будет сказано в третьей части.
Скорее всего в этом цикле про WEP не будет, так как статьи и так получились очень большие, а распространённость WEP стабильно снижается. Кому надо — легко может найти руководства на других ресурсах.

WPA и WPA2

WPA
— второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access
. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP). Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен. Сейчас используется редко (хотя почему вообще ещё применяется — мне не понятно) и в целом использование WPA с TKIP почти то же, что и использование простого WEP. Одна из занятных особенностей TKIP — в возможности так называемой Michael-атаки. Для быстрого залатывания некоторых особо критичных дыр в WEP в TKIP было введено правило, что точка доступа обязана блокировать все коммуникации через себя (то есть «засыпать») на 60 секунд, если обнаруживается атака на подбор ключа (описана во второй части). Michael-атака — простая передача «испорченных» пакетов для полного отключения всей сети. Причём в отличии от обычного DDoS тут достаточно всего двух (двух
) пакетов для гарантированного выведения сети из строя на одну минуту.

WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части. Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK
(иногда его называют WPA Personal
) — вход по единому паролю, который вводит клиент при подключении. Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится применять способ из «Людей в чёрном»
менять пароль для всей сети и уведомлять об этом других сотрудников. Enterprise
снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS. Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный велосипед
алгоритм. Короче, одни плюшки для больших дядей. В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.

WPS/QSS

WPS
, он же Qikk aSS
QSS
— интересная технология, которая позволяет нам вообще не думать о пароле, а просто добавить воды
нажать на кнопку и тут же подключиться к сети. По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP. WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети
вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть. Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая
. Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты. Даже больше — временное отключение кардинально ничего не меняет, так как при одной попытке входа в минуту нам понадобится всего 10000/60/24 = 6,94
дней. А PIN обычно отыскивается раньше, чем проходится весь цикл. Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным. Атака на WPS будет рассмотрена во второй части. p.s: так как тема очень обширная, в материал могли закрасться ошибки и неточности. Вместо криков «автор ничего не понимает» лучше использовать комментарии и ЛС. Это будет только приветствоваться.Оглавление:
1)
Матчасть2)
Kali. Скрытие SSID. MAC-фильтрация. WPS3)
WPA. OpenCL/CUDA. Статистика подбора

Защита Wi-Fi сетей. Методы защиты. Компьютерные советы (сборник статей)

Защита Wi-Fi сетей. Методы защиты

Автор: securityfocus

Источник: http://www.xakep.ru/

Исправляем WEP

Существует несколько процедур, при помощи которых вы можете улучшить безопасность своей сети. На самом деле все ниже перечисленные пункты необходимы на этапе становления сети, но если у вас они не реализованы, то лучше их сделать — чем быстрее тем лучше.

Используйте длинные WEP ключи, это затруднит хакеру работу. Если оборудование поддерживает 128-битное шифрование, то конечно юзайте его. Периодически меняйте ключи. Размещайте точки доступа за файрволом, вне локальной сети. Используйте VPN для всех протоколов, которые могут передавать важную информацию. Используйте несколько техник для шифрования трафика, например IPSec. Вероятно надо будет устанавливать софт на клиентах, установить IPSec сервер в локальной сети, использовать VLAN между точкой доступа и сервером. В таком варианте пользователи сети будут организовывать IPSec туннель к серверу и передавать через него все данные.

Если есть возможность, то нужно менять прошивки на всех сетевых устройствах. Например, разработчики AirSnort (см. предыдущую статью) отмечают, что уже не все точки доступа поддаются взлому и на них невозможно взломать WEP ключ. Это работа производителей — обновления постоянно улучшают свои устройства и чем быстрее вы внедрите эти улучшения в свою сеть тем лучше.

Но это конечно не панацея. WEP использует алгоритм RC-4, который по определению уязвим из-за постоянства ключа. Единственное, что в протоколе помогает бороться с этим и изменять значение ключа — 16-битное значение IV. Оно каждые 65.536 пакетов меняет свое значение, и с точки зрения хакера уже не важно какая прошивка используется в сетевом оборудовании — если значение повторяется, следовательно его можно подобрать и проникнуть внутрь. Апгрейд оборудования не стоит игнорировать, но лучше обратить внимание и на сами алгоритмы защиты сети.

WPA-PSK и WPA-Enterprise

Следовательно, надо что-либо делать с самой концепцией. Решения уже разработаны, в частности WPA, или Wi-Fi Protected Access. Основа WPA — Temporal Key Integrity Protocol (TKIP). Вкратце, TKIP намного превосходит WEP: механизм шифрования его более стойкий, к тому же его можно внедрить на существующем оборудовании. TKIP меняет ключ для каждого передаваемого пакета и тем самым устраняет любую возможность подбора. (Существует и облегченная версия WPA — WPA Pre-Shared Key (WPA-PSK). Она больше подходит для небольших сетей. В ней как и в WEP существует статический ключ, но используется и TKIP, автоматически меняющий ключ в определенных временных интервалах.) Другая вариация WPA — WPA-Enterprise, использующая TKIP, а плюс к этому аутентифицирующий сервер или устройство, которое работает по Extensible Authentication Protocol (обратите внимание, что тут необходим дополнительный сервер, который будет раздавать привилегии, например RADIUS, такую ситуацию называют EAP-over-RADIUS; есть и иное, более дешевое решение — так называемый Wireless Guard, он авторизует пользователя именем и паролем).

Естественно, технология WPA не лишена и своих проблем. Robert Moskowitz из ICSA Labs обнаружил, что ключевая фраза WPA может быть взломана. Это происходит из-за того, что хакер может заставить точку доступа регенерировать обмен ключами менее чем за 60 секунд. И даже если обмен ключами достаточно безопасен для мгновенного взлома, его можно будет сохранить и использовать для оффлайнового перебора. еще один вопрос заключается в том, что EAP передает данные открытым текстом. Изначально для шифрования EAP сессий использовался Transport Layer Security (TLS), но для его работы на каждом клиенте требуется сертификат. TTLS несколько исправил эту проблему, но Microsoft (в Windows XP SP1 есть поддержка WPA) и Cisco решили вопрос по своему и создали Protected EAP, отличную от TTLS. Сейчас две технологии конкурируют и вероятно поддержка таких грандов склонит победу к PEAP.

Будущее

В перспективе нас ждет спецификация 802.11i (профильный комитет Institute of Electrical and Electronic Engineers (IEEE) проголосовал за утверждение нового стандарта для локальных беспроводных сетей 802.11i буквально в прошлом месяце), которая является действительной панацеей от всех головных болей с шифрованием. Новая спецификация включает более эффективный способ отлова злоумышленников, стойкий TKIP, Advanced Encryption Standard (AES), который поддерживает длинные и более безопасные потоки данных нежели TKIP в одиночестве (хотя длинна ключа такая же, 128 бит, алгоритм шифрования во много раз более стойкий). AES уже сейчас широко используется, в частности американским правительством.

802.11i кроме того поддерживает все 802.1x, а так же EAP, а следовательно RADIUS-based аутентификацию, регулярное обновление ключей у клиентов, раздачу уникальных ключей каждому индивидуальному клиенту (что еще уменьшает риск атаки, так как один ключ не даст доступа ко всему трафику остальных клиентов).

Слабая защита Wi-Fi в iPhone: что это значит и как исправить?

Многим пользователям кажется, что обновления iOS мало влияют на основную логику работы системы. Но часто в ней появляются такие функции, которые могут ввести нас в заблуждение, а то даже и напугать.

♥ ПО ТЕМЕ:Как проверить все ваши пароли на взлом прямо в iOS на iPhone (по базе украденных паролей).

 

Видео:

 

Например, многие пользователи с удивлением вдруг узнали, что давно используемая ими на работе или дома Wi-Fi сеть считается небезопасной. Такое предупреждение стало появляться на устройствах с iOS 14 (и более новых). И это уведомление заметили многие. Что же делать в такой ситуации – спешно менять настройки сети или же просто игнорировать сообщение? Давай разберемся в этой ситуации.

Сообщение о том, что соединение по Wi-Fi имеет слабый уровень безопасности, появилось на устройствах с iOS, обновленных до версии 14. Увидеть подобное предупреждение можно, пройдя по пути Настройки → Wi—Fi. Ниже текущего соединения может появиться угрожающая фраза: «Слабый уровень безопасности» или «Слабая защита». Если же нажать на само подключение, то в открывшемся окне будет подробна описана причина предупреждения. Apple более не считает используемый вами протокол шифрования надежным, рекомендуя обратить внимание на другие варианты, более безопасные.

Шифрование трафика при работе в Wi-Fi сетях является необходимой мерой – ведь так осуществляется защита передаваемой информации. Шифрованные данные нет смысла перехватывать и хранить, да и подменить их не получится, если это захотят осуществить некие третьи лица. Если же работать в открытых беспроводных сетях, то злоумышленники смогут просмотреть историю поисковых запросов в браузере, список посещенных вами браузеров, увидеть запускаемые приложения и вообще получить немало ценной информации, в том числе и географическую позицию.

Именно поэтому были разработаны специальные протоколы шифрования. Наиболее известными из них являются:

• WEP
• WPA
• WPA2 TKIP
• WPA2 AES
• WPA3

В этом списке элементы расположились в порядке возрастания их надежности. Другими словами, пользоваться WPA можно уже с риском для себя, а вот WPA3 гарантирует наиболее высокий уровень защиты. Шифрование WEP настолько устарело, что пользоваться им точно не стоит. Имеются и другие промежуточные варианты, чаще всего это компромиссы относительно стандартных вариантов, например, WPA2 AES в Apple считают достаточно безопасным, тогда как WPA2 TKIP – нет.

Иногда приходится прибегать как раз к WPA2 AES, ведь многие старые роутеры просто не умеют работать с современными продвинутыми протоколами шифрования.

♥ ПО ТЕМЕ: Настройки геолокации в iPhone: на что влияют и какие можно выключить для сохранения заряда батареи?

 

Как изменить шифрование Wi-Fi?

Вы можете просто переключиться на более надежный стандарт шифрования. Это и поможет защитить информацию, и уберет предупреждение в iOS. Вот только перед тем, как осуществить следующие настройки, убедитесь, что вы точно сможете вернуться к прежним, если вдруг это понадобится. Возможно, ваши устройства не смогут подключиться к беспроводной сети с новыми настройками – сможете ли вы попасть на роутер? Сделать это можно будет только подключившись к нему с помощью кабеля. А вот порядок действий для смены шифрования:

1. В браузере введите адрес вашего роутера. Обычно это 192.168.0.1 или 192.168.1.1 (бывает и 192.168.100.1).

2. Для авторизации введите ваши учетные данные для доступа к устройству. Изначально на роутере с завода устанавливается комбинация admin/admin (root/admin) или же информация для входа указывается на этикетке сзади/снизу устройства.

3. Перейдите в настройки беспроводной сети (WLAN). Здесь и и осуществляется переключение типа шифрования. Для сетей 2,4 и 5 ГГц могут быть отдельные настройки, обратите на это внимание.

4. На вкладке «Шифрование» выберите вариант WPA2 AES или WPA3, это самые надежные опции. Вот только WPA3 присутствует далеко не на всех роутерах. Сохраните настройки.

Имейте ввиду, что режим аутентификации WPA2 с режимом шифрования TKIP или TKIP&AES и режим аутентификации WPA2 с режимом шифрования AES это не идентичные опции. Только WPA2 AES считается надежным методом защиты.

5. Обычно изменения сразу же вступают в силу, но для надежности роутер можно перегрузить.

После переключения протокола на более надежный уведомление iOS пропадет.

Вот только если изменения в двухдиапазонном роутере вносить только для одной из частот (2,4 или 5 ГГц), то предупреждение останется. Так что, задумавшись о своей безопасности, не стоит предпринимать частичные меры.

Смотрите также:

10 шагов для защиты Wi-Fi-сети от взлома • Обучение компьютеру

Большинство пользователей интернета сегодня предпочитают подключать гаджеты через Wi-Fi-соединение, так как значительная часть всех современных смартфонов, ноутбуков и планшетов поддерживает этот способ передачи данных.

Но такие сети также не лишены различных изъянов. Они имеют уязвимости и могут взламываться, если безопасности не уделяется должное внимание. Для того чтобы злоумышленники не смогли проникнуть в домашнюю сеть и навредить необходимо придерживаться простых правил безопасности.

Измените имя домашней беспроводной сети

Первое, что нужно сделать — это изменить SSID (Service Set Identifier), то есть имя сети. Не давайте ей провокационные названия, например, «Меня не взломать». Это может спровоцировать злоумышленников и иметь очень неприятные последствия.

Уберите из имени название фирмы-производителя вашего Wi-Fi-маршрутизатора. Это усложнит задачу взлома устройства. Если злоумышленники узнают производителя маршрутизатора, то они будут знать и про уязвимости, которые имеет данная модель, и непременно воспользуются этим.

Имя домашней сети не должно содержать какую-либо личную информацию.

Многие допускают серьезную ошибку, называя сеть по своему имени или фамилии. Такое раскрытие личной информации, может привести к неприятным последствиям.

Выберите надежный и уникальный пароль для входа в сеть

Любой беспроводной маршрутизатор продается с предварительно установленным паролем. Производителей таких устройств не так уж и много, а стандартные пароли известны хакерам. Поэтому они могут очень легко взломать сеть, обладая такой информацией. Для ликвидации уязвимости предустановленный пароль необходимо сменить. Новый пароль должен быть длинным (не менее 20 символов) и включать в себя цифры, буквы и различные символы.

Применяйте шифрование

Беспроводные Wi-Fi сети функционируют на основе нескольких методов шифрования, таких как WEP, WPA или WPA2. Первый метод был впервые разработан в 1990-е годы. Это устаревший по современным стандартам протокол, который легко взломать. Стандарт WPA более современный и является усредненным вариантом между WEP и WPA2.

WPA2 имеет несколько вариантов шифрования. Одним из них является TKIP, но это довольно старый метод шифрования. Он впервые разработан одновременно с WPA и является устаревшим. Его надежность низкая.

Второй вариант – это современная система шифрования AES (Advanced Encryption Standard). Используется правительствами по всему миру, в том числе в США. WPA2-AES является сегодня стандартным алгоритмом шифрования. Все беспроводные сети совместимы с ним. Таким образом, самым лучшим методом шифрования для защиты сети на сегодняшний день является WPA2-AES.

Тщательно выбирайте место размещения маршрутизатора в доме

Чаще всего пользователи не придают значения месту расположения устройства. Но мало кто знает, что это очень важно в обеспечении безопасности. Устанавливайте устройство как можно ближе к середине дома.

• Первое преимущество состоит в том, что все комнаты в доме будут иметь одинаковый доступ к интернету.
• Второе преимущество заключается в том, что злоумышленникам будет труднее перехватить сигнал устройства.

Диапазон сигнала беспроводной сети очень мощный. И чем глубже у вас будет в доме установлен маршрутизатор, тем слабее и недосягаемее будет его сигнал для хакеров. По этой же причине не устанавливайте его рядом с окном, так как препятствий для сигнала практически не будет.

Измените имя и пароль администратора маршрутизатора

Для настройки маршрутизатора, необходимо получить доступ к онлайн-платформе или веб-странице, где можно вносить разные изменения в настройки устройства. Значительная часть Wi-Fi-маршрутизаторов продаются с одинаковыми учетными данными администратора. У каждого производителя логин и пароль учетной записи стандартные для всех устройств. Такими образом, устройство легко взламывается хакерами.

Измените имя учетной записи администратора и пароль к ней.

Это усложнит доступ киберпреступников к устройству.

Отключите удаленный доступ к устройству

Получить доступ к настройкам в большинстве маршрутизаторов можно только при прямом подключении. Тем не менее некоторые из них могут управляться удаленно. Зайдите в настройки маршрутизатора и запретите удаленный доступ к нему. После отключения функции киберпреступники не смогут управлять им удаленно.

Регулярно обновляйте программное обеспечение маршрутизатора

Обновление прошивки (программы управления) маршрутизатора является важной частью обеспечения безопасности сети. Прошивка данного устройства, как и любая другая программа, имеет уязвимости, которые могут стать серьезной угрозой.

К превеликому сожалению, в немногих беспроводных маршрутизаторах есть функция автоматического обновления прошивки. Если в настройках устройства функция автообновления есть, то обязательно включите ее. Если автоматического обновления не предусмотрено, то необходимо устанавливать «заплатки» вручную.

Защищайте сеть с помощью файервола

Межсетевой экран (брандмауэр, файервол) используется не только на компьютерах. Программа выпускается и в аппаратной (встроенной) разновидности, например, для защиты Wi-Fi сети. Аппаратный брандмауэр обеспечивает дополнительную защиту устройства от различных атак киберпреступников.

Некоторые устройства выпускаются с уже предустановленным на них брандмауэром. Выясните, имеет ли ваш маршрутизатор встроенный брандмауэр. Если он есть, тогда обязательно активируйте его.

Защищайте устройства, взаимодействующие с беспроводной сетью

Даже, если маршрутизатор уже настроен должным образом, вы должны защищать устройства, которые подключаются к сети.

• Регулярно обновляйте их программное обеспечение.
• Защищайте их с помощью антивирусных и антишпионских программ.
• Чаще проверяйте устройства на вирусы и вредоносное ПО.

Отключайте сеть, если она не используется

Если Wi-Fi-маршрутизатор долгое время не используется, то его нужно отключать. Это уменьшит шансы злоумышленников, которые попытаются взломать сеть, когда она не используется.

10 главных советов по защите домашней сети Wi-Fi

Наш все более технологичный мир означает, что наши дома теперь заполнены широким спектром гаджетов и устройств, для которых требуется подключение к Интернету. Будь то компьютер, планшет, телефон, холодильник, телевизор или радионяня, наша растущая зависимость от Интернета для подключения всех наших устройств открыла двери для многих рисков и создала ряд проблем с безопасностью.

Многие люди просто не знают об угрозах безопасности, которые могут представлять эти устройства, если они не защищены должным образом с помощью безопасной сети Wi-Fi.Мы бы никогда не мечтали оставить открытой входную дверь в наш дом, но если оставить наши сети Wi-Fi незащищенными, это подвергнет нас тем же угрозам безопасности.

Хакеры склонны к гибкости и готовы воспользоваться любым недостатком безопасности, чтобы запустить целевую атаку. Если хакеры могут получить доступ к вашей домашней сети, они могут украсть личную и финансовую информацию, заразить ваши устройства вирусами и вредоносными программами, совершить киберпреступление с вашего устройства или запустить распределенную атаку отказа в обслуживании (DDOS).

Безопасность вашей домашней сети имеет важное значение, когда дело доходит до защиты ваших данных от злоумышленников.

Как защитить домашнюю сеть Wi-Fi

Чтобы защитить свой дом и уберечь его от хакеров, вы можете предпринять несколько шагов:

1. Измените имя пользователя и пароль по умолчанию

Первое и самое важное, что вы должны сделать для защиты домашней сети Wi-Fi, — это изменить имя пользователя и пароль по умолчанию на более безопасные.

Провайдеры

Wi-Fi автоматически назначают имя пользователя и пароль для сети, и хакеры могут легко найти эти пароли по умолчанию в Интернете. Если они могут получить доступ к сети, они могут изменить пароль на любой, какой захотят, заблокировать владельца и захватить сеть.

Изменение имени пользователя и пароля затрудняет злоумышленникам определение, чей это Wi-Fi, и получение доступа к сети. У хакеров есть сложные инструменты для проверки тысяч возможных комбинаций пароля и имени пользователя, поэтому очень важно выбрать надежный пароль, который сочетает в себе буквы, цифры и символы, чтобы затруднить взлом.

2. T Урна с шифрованием беспроводной сети

Шифрование

— один из наиболее эффективных способов защиты данных в сети. Шифрование работает путем шифрования ваших данных или содержимого сообщения, чтобы хакеры не могли его расшифровать.

Самый безопасный тип шифрования для домашней сети Wi-Fi — это WPA2. Если у вас есть старые устройства, возраст которых не превышает 10 лет, они могут быть несовместимы с WPA2, поэтому будет жизненно важно обновить домашние устройства для повышения безопасности и производительности.

Чтобы проверить, использует ли ваш маршрутизатор шифрование WPA2, просмотрите настройки сети и проверьте свойства беспроводной сети. Это позволит вам выбрать лучший метод шифрования при подключении к беспроводной сети.

3. Используйте VPN (виртуальную частную сеть)

VPN — это сеть, которая позволяет вам общаться по незащищенной, незашифрованной сети в частном порядке. VPN шифрует ваши данные, чтобы хакер не мог сказать, что вы делаете в сети или где находитесь.

VPN также изменит ваш IP-адрес, создавая впечатление, что вы используете свой компьютер из другого места, кроме вашего домашнего адреса. Помимо настольного компьютера его также можно использовать на ноутбуке, телефоне или планшете.

4. Скрыть свою сеть от просмотра

При первоначальной настройке домашней сети вам будет предложено создать общедоступное сетевое имя, также известное как SSID (идентификатор набора услуг). Большинство устройств настроены с сетевым именем по умолчанию, назначенным производителем.Есть большая вероятность, что если у ваших соседей есть устройство от того же производителя, у них также будет одинаковый SSID, что может стать кошмаром безопасности, если обе сети не зашифрованы.

Скрытие SSID — это функция, которая позволит вам скрыть свое сетевое имя от списка людей в окрестностях. При изменении имени по умолчанию хакеру становится намного сложнее узнать, какой у вас тип маршрутизатора, что снижает вероятность атаки.

5. Выключайте сеть Wi-Fi, когда нет дома

Звучит просто, но один из самых простых способов защитить домашнюю сеть от атак — выключить ее, когда вас нет дома.Ваша домашняя сеть Wi-Fi не должна работать 24 часа в сутки, семь дней в неделю. Отключение Wi-Fi, когда вы находитесь вдали от дома, снижает вероятность того, что хакеры попытаются проникнуть в вашу домашнюю сеть, когда вас нет.

6 . Регулярно обновляйте программное обеспечение маршрутизатора

Программное обеспечение Wi-Fi

необходимо обновить, чтобы защитить сетевую безопасность вашего дома. Прошивка маршрутизатора, как и любое другое программное обеспечение, может содержать уязвимости, которые стремятся использовать хакеры.У большинства маршрутизаторов нет возможности автоматического обновления, поэтому вам придется вручную обновлять программное обеспечение, чтобы обеспечить защиту вашей домашней сети.

7. Используйте межсетевые экраны

Большинство маршрутизаторов W-Fi содержат встроенный сетевой брандмауэр, который защищает широкополосные соединения и предотвращает любые сетевые атаки со стороны злоумышленников. Их также можно отключить, поэтому важно убедиться, что брандмауэр домашнего маршрутизатора включен, чтобы добавить еще один уровень защиты к домашней безопасности.

8. Разместите маршрутизатор в центре дома

Домовладельцы часто не осознают, что расположение их маршрутизатора может повлиять на безопасность. Если ваш маршрутизатор расположен рядом с дверью или окном, это увеличивает вероятность того, что ваш сигнал Wi-Fi будет перехвачен кем-то со злым умыслом. Чтобы повысить безопасность вашего домашнего Wi-Fi, лучше всего разместить маршрутизатор Wi-Fi как можно ближе к центру вашего дома, и это снизит вероятность подключения хакеров к вашей сети.

9. Включить фильтрацию MAC-адресов

Большинство широкополосных маршрутизаторов будут иметь уникальный идентификатор, называемый физическим адресом или адресом управления доступом к среде (MAC). Этот адрес направлен на повышение безопасности за счет ограничения количества устройств, которые могут подключаться к домашней сети. Домовладельцы имеют возможность вводить MAC-адреса всех устройств в доме, и это ограничивает сеть, позволяя соединения только с этих утвержденных адресов. Это обеспечивает еще один уровень безопасности, помогающий держать хакеров в страхе.

10. Отключить удаленное администрирование

Другой способ, которым хакеры могут получить доступ к домашнему сетевому соединению, — это функция удаленного администрирования на маршрутизаторе. Удаленное администрирование позволяет любому, кто находится достаточно близко к вашему дому, просматривать или изменять ваши настройки Wi-Fi. Если вам не нужно удаленно подключаться к маршрутизатору Wi-Fi, лучше отключить эту функцию. Это можно сделать, зайдя в раздел администрирования настроек Wi-Fi и нажав кнопку отключения.

MetaCompliance специализируется на создании лучших обучающих курсов по информационной безопасности, доступных на рынке. Свяжитесь с нами, чтобы получить дополнительную информацию о нашем обширном ассортименте информационных курсов по кибербезопасности.

Как защитить вашу домашнюю сеть Wi-Fi

В ваших домашних сетях может быть множество беспроводных устройств — от компьютеров и телефонов до IP-камер, голосовых помощников, интеллектуальных телевизоров и подключенных устройств. Выполнение некоторых основных шагов по защите вашей домашней сети Wi-Fi поможет защитить ваши устройства от взлома, а вашу информацию — от кражи.

Как работает моя домашняя сеть Wi-Fi?

Ваша сеть Wi-Fi — это домашнее беспроводное подключение к Интернету. Обычно это беспроводной маршрутизатор, который передает сигнал по воздуху. Вы можете использовать этот сигнал для подключения к Интернету. Но если ваша сеть не защищена паролем, любое устройство в пределах досягаемости может получать сигнал из воздуха и использовать ваше интернет-соединение.

Плюсы Wi-Fi? Вы можете подключиться к Интернету по беспроводной сети. Обратная сторона? Другие люди поблизости, которые подключаются к вашей незащищенной сети, могут видеть, что вы делаете в Интернете, включая вашу личную информацию.И если кто-то использует вашу сеть для совершения преступления или рассылки незаконного спама, эту активность можно отследить до вас.

Как я могу защитить мою домашнюю сеть Wi-Fi?

Зашифруйте свою сеть. Шифрование шифрует информацию, передаваемую через вашу сеть. Из-за этого другим людям сложнее увидеть, что вы делаете, или получить вашу личную информацию. Вы шифруете свою сеть, просто обновляя настройки маршрутизатора до WPA3 Personal или WPA2 Personal. WPA3 — это более новое и лучшее доступное шифрование, но оба будут работать для шифрования вашей информации.

Старый маршрутизатор? На вашем роутере нет вариантов WPA3 или WPA2? У старых маршрутизаторов есть устаревшие и небезопасные WPA и WEP. Если перечислены только эти варианты, попробуйте обновить программное обеспечение маршрутизатора. Затем еще раз проверьте, доступны ли WPA2 или WPA3. Если это не так, подумайте о приобретении нового маршрутизатора, чтобы защитить вашу информацию.

Измените предварительно установленные пароли маршрутизатора. Некоторые маршрутизаторы поставляются с предустановленными паролями из коробки. Но хакеры могут легко найти эти пароли, поэтому важно изменить их на что-то более сложное.На вашем маршрутизаторе есть два пароля, которые вам нужно сбросить.

1. Пароль сети Wi-Fi : это тот пароль, который вы используете для подключения ваших устройств к сети. Уникальный и безопасный сетевой пароль Wi-Fi предотвращает проникновение посторонних в вашу сеть.

2. Пароль администратора маршрутизатора : это тот, который позволяет вам войти в административную часть устройства. Там вы можете делать такие вещи, как изменение настроек (включая пароль сети Wi-Fi).Если хакеру удалось войти в систему со стороны администратора вашего роутера, он может изменить настройки (включая ваш пароль Wi-Fi). Это отменит любые другие меры безопасности, которые вы можете предпринять.

Чтобы найти инструкции по изменению пароля администратора и сетевого пароля маршрутизатора, сначала найдите имя производителя маршрутизатора. Затем зайдите в Интернет и выполните поиск «как изменить пароль администратора [производителя маршрутизатора]» и «как изменить пароль сети Wi-Fi [производитель вашего маршрутизатора]». По-прежнему возникают проблемы? Свяжитесь с производителем напрямую.

Регулярно обновляйте маршрутизатор. Прежде чем настраивать новый маршрутизатор или обновлять существующий, посетите веб-сайт производителя, чтобы узнать, доступна ли для загрузки более новая версия программного обеспечения. Чтобы убедиться, что вы слышали о последней версии, зарегистрируйте маршрутизатор у производителя и зарегистрируйтесь, чтобы получать обновления. Если вы приобрели маршрутизатор у своего интернет-провайдера (ISP), например Verizon или Comcast, узнайте у своего интернет-провайдера, рассылает ли он автоматические обновления.

Отключите функции «удаленное управление», WPS и Universal Plug and Play (UPnP). У некоторых маршрутизаторов есть функции, которые могут быть удобными, но ослабляют вашу сетевую безопасность. Например, удаленный доступ к элементам управления маршрутизатора позволяет изменять настройки через Интернет. WPS позволяет вам нажать кнопку на маршрутизаторе, чтобы подключить устройство к Интернету, вместо того, чтобы вводить сетевой пароль. Наконец, UPnP позволяет вашим устройствам находить друг друга в сети. Эти функции могут упростить, например, добавление устройств в вашу сеть или позволить гостям использовать ваш Wi-Fi, но они могут сделать вашу сеть менее защищенной.

Настройте гостевую сеть. Многие маршрутизаторы позволяют настроить гостевую сеть с другим именем и паролем. Это хороший ход по безопасности по двум причинам:

1. Наличие отдельного входа в систему означает, что у меньшего числа людей есть ваш основной пароль сети Wi-Fi, а
2. Если у гостя (по незнанию) есть вредоносное ПО на своем телефоне или планшете, оно не попадет в вашу основную сеть и ваши устройства.

Выйдите из системы как администратор. После настройки маршрутизатора или изменения настроек не забудьте выйти из системы как администратор.Когда вы вошли в систему как администратор, вы можете изменять пароли и иным образом управлять настройками, которые контролируют безопасность вашей сети. Если хакер проник в вашу учетную запись администратора, он может легко проникнуть в вашу сеть и устройства.

Защитите свои устройства. Так же, как хакеры могут получить доступ к вашим данным через незащищенные сети, они также могут получить доступ к вашей сети через незащищенные устройства. Чтобы найти советы по блокировке ваших устройств, прочтите о том, как обеспечить безопасность ваших устройств.

Как обезопасить свой Wi-Fi роутер и защитить свою домашнюю сеть

Если вам повезет, процесс будет автоматическим; вы даже можете получать оповещения на свой телефон каждый раз, когда применяется обновление прошивки, что обычно происходит в одночасье.Если вам не повезло, возможно, вам придется загрузить новую прошивку с сайта производителя и направить на нее свой маршрутизатор. Если да, то это стоит дополнительных усилий.

Отключить удаленный доступ, UPnP и WPS

Многие маршрутизаторы поставляются с функциями, предназначенными для упрощения удаленного доступа извне вашего дома, но, если вам не нужен доступ на уровне администратора к маршрутизатору из другого места, вы обычно можете безопасно включить эти функции отключены на панели настроек роутера. Кроме того, большинство приложений удаленного доступа нормально работают и без них.

Еще одна особенность, на которую стоит обратить внимание, — это универсальный Plug and Play. UPnP, разработанный для упрощения доступа к Интернету для таких устройств, как игровые приставки и смарт-телевизоры, без необходимости пробираться через множество экранов конфигурации, UPnP также может использоваться вредоносными программами для получения высокоуровневого доступа к настройкам безопасности вашего маршрутизатора.

Если оставить удаленный доступ и UPnP включенными, это не приведет к внезапному появлению наихудшего из Интернета, но если вы хотите быть в максимальной безопасности, отключите их. Если окажется, что некоторые приложения и устройства в вашей сети полагаются на них, вы можете снова включить эти функции, не беспокоясь об этом.

Вам также следует подумать об отключении Wi-Fi Protected Setup. WPS имеет добрые намерения, позволяя подключать новые устройства с помощью нажатия кнопки или PIN-кода, но это также упрощает получение доступа неавторизованными устройствами; цифровой PIN-код легче подобрать, чем буквенно-цифровой пароль. Если вам это не нужно, отключите его.

Использовать гостевую сеть, если она доступна

Если ваш маршрутизатор имеет возможность транслировать так называемую гостевую сеть, воспользуйтесь этим преимуществом.Как следует из названия, это означает, что вы можете предоставить своим гостям доступ к соединению Wi-Fi, не позволяя им подключаться к остальной части вашей сети — вашим динамикам Sonos, общим папкам на вашем ноутбуке, вашим принтерам и так далее.

Это не похоже на то, что ваши друзья и семья являются замаскированными хакерами, но разрешение им в вашей основной сети означает, что они могут получить доступ к файлу, который вы бы предпочли, чтобы они не сделали, или непреднамеренно изменить настройку где-то, что вызывает у вас проблемы. Это также создает еще один удар скорости на пути тех, кто тайно пытается получить доступ к вашей сети без вашего разрешения — даже если они смогут войти в гостевую сеть, они не смогут взять под контроль вашу другую. устройства или ваш маршрутизатор.

У вашего маршрутизатора должна быть возможность скрыть SSID вашей основной сети — в основном имя сети, которое появляется, когда ваши устройства сканируют Wi-Fi. Если посетители не видят эту сеть, они не могут подключиться к ней, но вы сможете добавлять в нее устройства, потому что знаете, как она называется. (И если вы не уверены, это будет указано в настройках вашего маршрутизатора.)

Не забывайте о безопасности

Несмотря на десятилетия относительного пренебрежения, большинство маршрутизаторов, выпущенных за последние пару лет, имеют отличную встроенную безопасность.Производители ценят важность безопасности и надежности маршрутизаторов больше, чем когда-либо, поэтому продукты стали намного удобнее в использовании, чем раньше. Теперь они обрабатывают за вас множество ключевых настроек безопасности.

Имея это в виду, один из самых высоких рисков для вашего маршрутизатора заключается в том, что он скомпрометирован устройством, которому, по его мнению, может доверять — другими словами, что-то на вашем телефоне или ноутбуке получает к нему доступ и причиняет вред, возможно, из-за тайно открывая точку входа в ваш маршрутизатор, к которой можно получить удаленный доступ.

Все, что нужно знать о безопасности беспроводной сети

В современном мире практически невозможно функционировать без доступа к беспроводному Интернету. Люди повсюду полагаются на Wi-Fi во всем, от развлечений до достижения своих целей. Но с повсеместным распространением Интернета возникает основная опасность в виде хакеров, которые стремятся использовать недостатки безопасности, чтобы получить доступ к вашим личным данным и информации.

По мере того, как мы идем в будущее, в котором все, от телефона до холодильника, работает с использованием беспроводного подключения к Интернету, становится все более важным понимать, как обеспечить безопасность и надежность нашего Wi-Fi.

В этой статье мы предоставим вам все необходимое для понимания основ безопасности Wi-Fi и того, какую безопасность беспроводной сети следует использовать. Если вы хотите более индивидуального подхода, закажите бесплатную консультацию с нашими инженерами по безопасности Wi-Fi здесь, на SecureW2.

Что такое безопасность беспроводной сети?

Безопасность беспроводных сетей — это, по сути, предотвращение доступа нежелательных пользователей к определенной беспроводной сети. Более того, безопасность беспроводной сети, также известная как безопасность Wi-Fi, направлена ​​на то, чтобы ваши данные оставались доступными только для пользователей, которых вы авторизовали.

Как работает безопасность беспроводной сети?

Протоколы безопасности беспроводной сети

, такие как Wired Equivalent Privacy (WEP) и Wi-Fi Protected Access (WPA), представляют собой протоколы безопасности аутентификации, созданные Wireless Alliance и используемые для обеспечения безопасности беспроводной сети. В настоящее время доступно четыре протокола безопасности беспроводной сети.

• Протокол Wired Equivalent Privacy (WEP)
• Защищенный доступ к Wi-Fi (WPA)
• Защищенный доступ Wi-Fi 2 (WPA 2)
• Защищенный доступ Wi-Fi 3 (WPA 3)

Чтобы убедиться, что ваша сеть безопасна, вы должны сначала определить, к какой сети относится ваша.

Какие типы безопасности беспроводной сети?

Как упоминалось ранее, существует четыре основных типа протоколов безопасности беспроводной сети. Каждый из них различается по полезности и силе.

Протокол Wired Equivalent Privacy (WEP)

Wired Equivalent Privacy (WEP) — первый протокол безопасности, когда-либо применявшийся на практике. Разработанный в 1997 году, он устарел, но все еще используется в наше время со старыми устройствами.

WEP использует схему шифрования данных, основанную на комбинации значений ключей, созданных пользователем и системой.Однако широко известно, что WEP является наименее защищенным типом сети, поскольку хакеры разработали тактику обратного проектирования и взлома системы шифрования.

Защищенный доступ к Wi-Fi (WPA)

Wi-Fi Protected Access (WPA) был разработан для устранения недостатков, обнаруженных в протоколе WEP. WPA предлагает такие функции, как протокол целостности временного ключа (TKIP), который представлял собой динамический 128-битный ключ, который было труднее взломать, чем статический неизменный ключ WEP.

Он также представил проверку целостности сообщений, которая сканирует любые измененные пакеты, отправленные хакерами, протокол целостности временного ключа (TKIP) и предварительный общий ключ (PSK), среди прочего, для шифрования.

Защищенный доступ Wi-Fi 2 (WPA2)

В 2004 году WPA2 внес существенные изменения и дополнительные функции в гамбит беспроводной безопасности. WPA2 заменил TKIP протоколом кода аутентификации сообщений цепочки блоков шифрования в режиме счетчика (CCMP), который является гораздо более совершенным инструментом шифрования.

WPA2 является отраслевым стандартом с момента его создания. 13 марта 2006 года Wi-Fi Alliance заявил, что все будущие устройства с торговой маркой Wi-Fi должны будут использовать WPA2.

WPA2-PSK

WPA2-PSK (Pre-Shared Key) требует единственного пароля для доступа к беспроводной сети.Принято считать, что один пароль для доступа к Wi-Fi безопасен, но только в той мере, в какой вы доверяете тем, кто его использует. Основная уязвимость возникает из-за потенциального ущерба, когда учетные данные попадают в чужие руки. Именно поэтому этот протокол чаще всего используется для домашней или открытой сети Wi-Fi.

Для шифрования сети с помощью WPA2-PSK вы предоставляете маршрутизатору не ключ шифрования, а парольную фразу на простом английском языке длиной от 8 до 63 символов. При использовании CCMP эта кодовая фраза вместе с сетевым SSID используется для генерации уникальных ключей шифрования для каждого беспроводного клиента.И эти ключи шифрования постоянно меняются. Хотя WEP также поддерживает парольные фразы, он делает это только для упрощения создания статических ключей, которые обычно состоят из шестнадцатеричных символов 0–9 и A – F.

WPA2-предприятие

WPA2-Enterprise требует сервера RADIUS, который выполняет задачу аутентификации доступа пользователей к сети. Фактический процесс аутентификации основан на политике 802.1X и осуществляется в нескольких различных системах, обозначенных EAP.

Для работы WPA2-Enterprise требуется всего несколько компонентов.На самом деле, если у вас уже есть точки доступа и немного свободного места на сервере, у вас есть все необходимое для этого оборудование.

Поскольку каждое устройство аутентифицируется перед подключением, между устройством и сетью эффективно создается личный зашифрованный туннель. Преимущества безопасности правильно настроенного WPA2-Enterprise обеспечивают практически непроницаемую сеть. Этот протокол чаще всего используется предприятиями и правительствами из-за повышенных мер безопасности.

SecureW2 — лидер отрасли в области решений безопасности WPA2-Enterprise — от аутентификации на основе сертификатов до подключения устройств. Посмотрите, как мы можем усилить вашу сетевую безопасность сегодня.

Защищенный доступ Wi-Fi 3 (WPA3)

WP3 представляет первые серьезные изменения в безопасности беспроводной сети за 14 лет. Некоторые примечательные дополнения к протоколу безопасности:

Повышенная защита паролей
Индивидуальное шифрование для личных и открытых сетей
Повышенная безопасность корпоративных сетей.

WPA3-PSK

Для повышения эффективности обновлений PSK для WPA3-PSK предлагается повышенная защита за счет улучшения процесса аутентификации.

Стратегия для этого использует одновременную аутентификацию равных (SAE), чтобы значительно усложнить хакерские атаки методом перебора по словарю. Этот протокол требует взаимодействия со стороны пользователя при каждой попытке аутентификации, что приводит к значительному замедлению работы тех, кто пытается перебором пройти процесс аутентификации.

WPA3-предприятие

WPA3-Enterprise предлагает некоторые дополнительные преимущества, но в целом небольшие изменения с точки зрения безопасности после перехода с WPA2-Enterprise.

Значительное улучшение, которое предлагает WPA3-Enterprise, — это требование для проверки сертификата сервера, которое должно быть настроено для подтверждения идентичности сервера, к которому устройство подключается. Однако из-за отсутствия значительных улучшений переход на WPA3 вряд ли будет быстрым. WPA2 стал стандартом в 2004 году, и даже сегодня организациям трудно поддерживать его в своей сети. Вот почему мы разработали решение, которое предоставляет все необходимое для 802.1x.

Каковы основные угрозы безопасности Wi-Fi?

По мере того, как Интернет становится все более доступным через мобильные устройства и гаджеты, безопасность данных становится главной заботой общественности, как и должно быть. Нарушения данных и сбои в работе системы безопасности могут стоить отдельным лицам и компаниям тысячи долларов.

Важно знать наиболее распространенные угрозы, чтобы иметь возможность применять надлежащие меры безопасности.

Атака посредника

Атака «человек посередине» (MITM) — это невероятно опасный тип кибератаки, при котором хакер проникает в частную сеть, выдавая себя за мошенническую точку доступа и получая учетные данные для входа.

Злоумышленник настраивает оборудование, которое притворяется надежной сетью, а именно Wi-Fi, чтобы обманом заставить ничего не подозревающих жертв подключиться к нему и отправить свои учетные данные. Атаки MITM могут происходить где угодно, поскольку устройства подключаются к сети с самым сильным сигналом и будут подключаться к любому имени SSID, которое они помнят.

Хотите узнать больше об атаках MITM, прочтите еще одну из наших статей здесь.

Взлом и расшифровка паролей

Взлом и дешифрование паролей — это старый метод, который состоит из так называемой «атаки грубой силы».«Эта атака заключается в использовании метода проб и ошибок и надежды на правильное предположение. Однако есть много инструментов, которые хакеры могут использовать для ускорения процесса.

К счастью, вы можете использовать эти же инструменты, чтобы попробовать и проверить безопасность вашей собственной сети. Такие программы, как John the Ripper, Nessus и Hydra, — хорошее место для начала.

Анализаторы пакетов

Анализаторы пакетов — это компьютерные программы, которые могут отслеживать трафик в беспроводной сети. Они также могут перехватывать некоторые пакеты данных и предоставлять пользователю их содержимое.Их можно использовать для безопасного сбора данных о трафике, но попадание в чужие руки может привести к ошибкам и нарушить работу сети.

Как сделать мой домашний Wi-Fi безопасным?

Для домашней беспроводной сети в первую очередь необходимо выбрать наиболее полезный тип сетевой безопасности. Для домашней беспроводной сети рекомендуется реализовать WPA2-PSK, поскольку WPA2-Enterprise действительно нужен только организациям или университетам с большим сетевым трафиком.

Другие вещи, которые следует учитывать для вашего домашнего Wi-Fi:

• Изменение пароля и SSID по умолчанию
  • Убедитесь, что ваш пароль содержит не менее 10 символов и не содержит буквенно-цифровых символов
• Включить брандмауэр маршрутизатора
• Включить фильтрацию MAC-адресов
• Отключить удаленное администрирование

Управление Wi-Fi с помощью цифровых сертификатов

Множество проблем безопасности, с которыми сталкиваются беспроводные сети, проистекают из общего источника — паролей.Пароли привносят в вашу сеть элемент человеческой ошибки. Пароли могут быть украдены, утеряны или даже взломаны с помощью MITM или грубой силы.

К счастью, есть альтернатива — использование аутентификации на основе сертификатов. Пароли основываются на ключевых словах или фразах, созданных конечным пользователем. Сертификаты используют шифрование с открытым и закрытым ключом для шифрования информации, передаваемой по беспроводной сети, и аутентифицируются с помощью EAP-TLS, наиболее безопасного протокола аутентификации.

Хотя затраты на поддержку и внедрение инфраструктуры PKI для аутентификации сертификата могут показаться обескураживающими, SecureW2 может предложить простую конфигурацию, позволяющую легко поддерживать максимально безопасную сеть.

Как мне защитить мою бизнес-сеть Wi-Fi

WPA2-Enterprise существует с 2004 года и до сих пор считается золотым стандартом безопасности беспроводных сетей для организаций и университетов, обеспечивая шифрование по беспроводной сети и высокий уровень безопасности.В сочетании с эффективным методом аутентификации, известным как 802.1X, пользователи успешно авторизовались для безопасного доступа к сети в течение многих лет.

Однако при использовании WPA2-Enterprise в крупномасштабных условиях часто бывает сложно настроить и подключить новых пользователей.

Программное обеспечение

Onboarding, такое как предлагаемое SecureW2, устраняет путаницу для пользователей, поскольку https://www.securew2.com/solutions/eap-tls-authentication предлагает им простые шаги, предназначенные для выполнения любым, независимо от технических навыков.В SecureW2 есть инструменты, которые сделают вашу сеть WPA2-Enterprise максимально безопасной. Ознакомьтесь с нашими решениями по адаптации здесь.

Защита беспроводной сети | Kaspersky

Использование беспроводной сети в вашем доме дает вам возможность использовать свой компьютер практически в любом месте дома — и при этом иметь возможность подключаться к другим компьютерам в вашей сети или выходить в Интернет. Однако, если ваша беспроводная сеть небезопасна, существуют значительные риски. Например, хакер может:

• Перехватить любые данные, которые вы отправляете или получаете
• Получить доступ к вашим общим файлам
• Взломать ваше интернет-соединение — и использовать вашу полосу пропускания или ограничение загрузки

Советы по интернет-безопасности — в помощь вы защищаете свою беспроводную сеть

Вот несколько простых шагов, которые вы можете предпринять для защиты беспроводной сети и маршрутизатора:

• Избегайте использования пароля по умолчанию
  Хакеру легко узнать пароль производителя по умолчанию для вашего беспроводного маршрутизатора — а затем используйте этот пароль для доступа к беспроводной сети.Поэтому разумно изменить пароль администратора для вашего беспроводного маршрутизатора. Когда вы выбираете новый пароль, попробуйте выбрать сложную последовательность цифр и букв — и постарайтесь не использовать пароль, который можно легко угадать.
• Не позволяйте вашему беспроводному устройству объявлять о своем присутствии
  Отключите широковещательную передачу SSID (идентификатор набора услуг) — чтобы ваше беспроводное устройство не сообщало о своем присутствии всему миру.
• Измените имя SSID вашего устройства
  Опять же, хакеру легко узнать имя SSID производителя по умолчанию для вашего устройства, а затем использовать его для определения местоположения вашей беспроводной сети.Измените имя SSID по умолчанию для вашего устройства — и постарайтесь избегать использования имени, которое можно легко угадать.
• Шифрование данных
  Убедитесь, что в настройках подключения включено шифрование. Если ваше устройство поддерживает шифрование WPA, используйте это — если нет, используйте шифрование WEP.
• Защита от вредоносных программ и интернет-атак
  Убедитесь, что вы установили надежный продукт для защиты от вредоносных программ на всех своих компьютерах и других устройствах. Чтобы поддерживать защиту от вредоносных программ в актуальном состоянии, выберите в продукте опцию автоматического обновления.

Другие статьи и ссылки, связанные с безопасностью и защитой

Защита беспроводных сетей

Kaspersky

Использование беспроводной сети в вашем доме дает вам возможность использовать свой компьютер практически в любом месте вашего дома — и при этом иметь возможность подключаться к другим компьютерам в вашей сети или к Интернету. Однако, если ваша беспроводная сеть небезопасна, существуют значительные риски.

Лучшая безопасность для беспроводных сетей

Поздравляю с тем, что вы здесь, за заботу о безопасности вашей беспроводной сети и маршрутизатора, который ее создает.Хорошая новость в том, что вам не так уж много нужно учиться или делать. Плохая новость в том, что первый шаг, вероятно, будет самым трудным.

Для внесения любых изменений в Wi-Fi требуется доступ к маршрутизатору, защищенному паролем. Таким образом, первым шагом является изучение идентификатора пользователя / пароля, необходимого для входа в маршрутизатор. Для многих людей интернет-устройство у них дома было установлено их интернет-провайдером, и это виртуальный черный ящик. Мне еще не приходилось сталкиваться с провайдером, который сообщил бы своему клиенту пароль маршрутизатора.

Если ваш интернет-провайдер ленив, у маршрутизатора будет известный идентификатор пользователя / пароль, который можно узнать с помощью поиска Google. При необходимости обратитесь к поставщику услуг Интернета, чтобы узнать как идентификатор пользователя / пароль, так и IP-адрес маршрутизатора. Введите IP-адрес в адресную строку веб-браузера, чтобы получить доступ к веб-интерфейсу маршрутизатора.

Последней тенденцией в области маршрутизаторов являются ячеистые системы (Eero, Google Wifi, Netgear Orbi, AmpliFi, Linksys Velop и т. Д.), Состоящие из двух или трех устройств, которые работают вместе, чтобы увеличить радиус действия беспроводной сети.Большинство ячеистых маршрутизаторов не имеют веб-интерфейса. Вместо этого они администрируются с помощью мобильного приложения. На данный момент интернет-провайдеры не предоставляют своим клиентам ячеистые маршрутизаторы. Если у вас есть ячеистая система, вам потребуется как мобильное приложение, так и пароль маршрутизатора, чтобы внести какие-либо изменения.

Как только вы получите доступ к маршрутизатору, измените его пароль на тот, который известен только вам.

Пароль маршрутизатора не обязательно должен быть самым длинным и случайным паролем в мире, но должен содержать не менее 10 символов и не использовать ни одного слова в словаре.Я счел полезным написать пароль на листе бумаги и прикрепить его к маршрутизатору лицевой стороной вниз.

Типы безопасности Wi-Fi

Начнем с того, что существует несколько типов Wi-Fi. Три наиболее распространенных типа — это G, N и ac. G — самый медленный, ac — самый быстрый. Безопасность обрабатывается одинаково для всех трех.

Двумя важными аспектами безопасности Wi-Fi являются шифрование, используемое для передачи данных по воздуху, и пароль для сети Wi-Fi.

Беспроводное шифрование вначале было слабым, было улучшено один раз, а затем улучшилось еще раз.Третья и текущая итерация доказала свою эффективность за многие годы.

Первая версия называлась WEP, и ее следует избегать любой ценой. Вторая версия, получившая название WPA, была большим улучшением, но в 2017 году ее тоже следует избегать. Единственный приемлемый вариант шифрования известен как WPA2 (WPA версии 2).

Если ваш маршрутизатор предлагает выбор, вам также необходимо знать о TKIP, AES и CCMP.

WPA технически является сертификацией, а не стандартом безопасности, но, поскольку он включает только один протокол безопасности, TKIP, их часто путают.WPA2 технически включает два стандарта безопасности: TKIP и CCMP. Для наших целей TKIP — плохо, CCMP — хорошо. По какой-то причине только компьютерные специалисты называют CCMP CCMP. Большинство людей называют это AES.

Итог: при настройке роутера лучший вариант безопасности — WPA2-AES. Избегайте TKIP, WPA и WEP. WPA2-AES также повышает сопротивляемость атакам KRACK.

После выбора WPA2 старые маршрутизаторы спросят, хотите ли вы AES или TKIP. Маршрутизаторы следующего поколения ничего не спрашивали; они всегда использовали AES, когда вы выбирали WPA2.Самые последние маршрутизаторы по умолчанию защищены; они всегда используют WPA2-AES и ни о чем вас не спрашивают.

Другой вариант безопасности Wi-Fi, который отходит на второй план, связан с количеством паролей. Раньше маршрутизаторы спрашивали, хотите ли вы использовать режим PSK (Pre-Shared Key) или режим Enterprise. Режим PSK — это то, что все используют. Он позволяет использовать один общий пароль для данной беспроводной сети.

В корпоративном режиме каждый человек получает свой собственный идентификатор пользователя и пароль. Корпоративный режим более безопасен, но настолько сложен, что домашнее устройство не может справиться с этим самостоятельно.Его нужно указать на серверный компьютер, который отслеживает множество различных идентификаторов пользователей и паролей. Если ваш маршрутизатор все еще поддерживает режим PSK или Enterprise, вероятно, он довольно старый.

Пароли Wi-Fi и хакеры

С WPA2-AES злоумышленники не могут взломать беспроводную сеть, но они все равно могут попытаться угадать пароль.

Когда новое устройство подключается к сети Wi-Fi, оно передает зашифрованную копию пароля. Плохие парни могут зафиксировать это, поскольку оно передается по воздуху, и использовать специальное программное обеспечение для подбора пароля.

Им даже не нужно ждать, пока устройство войдет в систему. Неудачное дизайнерское решение Wi-Fi, принятое много лет назад, позволяет злоумышленникам легко и быстро отключать устройства от сети. Большинство беспроводных устройств сохраняют пароль, поэтому повторный вход в систему занимает всего несколько секунд. Но вход в систему дает злоумышленнику зашифрованный пароль.

Есть три схемы, которые используют злоумышленники для подбора паролей Wi-Fi.

Во-первых, они выбирают низко висящие плоды — пароли, которые являются словом в словаре или простыми вариантами.Очевидные закономерности, такие как слово, за которым следует цифра, или изменение буквы E на 3 или буквы O на цифру ноль, никого не обманывают.

Другой подход — использовать пароли, которые другие люди использовали раньше. Многочисленные утечки данных за эти годы привели к огромному количеству живых паролей. Программное обеспечение не займет много времени, чтобы проверить эти ранее обнаруженные пароли, даже если их миллионы.

Третий подход — это угадывание грубой силы — перебор всех возможных комбинаций букв, цифр и даже специальных символов.

Первоначальная версия этой статьи в 2009 году относилась к программному обеспечению для угадывания грубой силы, которое делает тысячи предположений в секунду. Теперь, скорее всего, это будут миллиарды догадок в секунду, если не больше. Миллиард предположений в секунду умножается на 86 400 миллиардов предположений в день. В таком случае разоблачение пароля типа «kiY4 * iwz» не займет много времени.

Проблема с этим паролем в том, что он слишком короткий, всего 8 символов. Для защиты от подбора грубой силы требуется гораздо более длинный пароль.Обычно эксперты рекомендуют 14-15 символов. Пароли Wi-Fi могут содержать до 63 символов.

Но даже с длинным паролем я предлагаю включить число, специальный символ и заглавную букву на удачу. Таким образом, хотя «ihateschoolonmondays» состоит из 20 символов, более короткое «I.love.ICE.cream!» вероятно, более устойчив к угадыванию грубой силы.

Оба этих примера иллюстрируют важный момент, касающийся безопасности паролей. Короткий пароль, похожий на кошку, сбежавшую с клавиатуры, не так безопасен, как длинный пароль, даже если длинный пароль представляет собой строку слов.Несколько слов также легче запомнить и легче набрать. А добавление специального символа между каждым словом делает пароль еще более надежным.

Безопасность гостевой сети

Первые две версии этой статьи были посвящены одной сети Wi-Fi, но практически все маршрутизаторы могут создавать более одной сети. Часто эти дополнительные сети называют гостевыми сетями, подразумевая, что они были предназначены для предоставления доступа в Интернет посетителям.

Гостевая сеть имеет другое имя (технически SSID) и пароль от основной сети Wi-Fi.Термин «гость» предшествует появлению устройств Интернета вещей (IoT), таких как Amazon Echo, однако использование гостевой сети для термостата или дверного звонка с поддержкой Wi-Fi повышает вашу безопасность.

Большим преимуществом гостевых сетей является то, что они обычно изолированы. То есть устройства в гостевой сети, как правило, не могут видеть другие устройства, подключенные к маршрутизатору, или взаимодействовать с ними. Плохая безопасность IoT-устройств печально известна, поэтому их изоляция в гостевой сети может помешать взломанному устройству повлиять на другие ваши устройства.

Тем не менее, нужна домашняя работа. Начнем с того, что существует два типа изоляции: гостевые устройства от негостевых устройств и гостевые устройства друг от друга. К сожалению, здесь нет стандартов, поэтому вам придется проверить, как ваш маршрутизатор обрабатывает каждый тип изоляции.

Это усложняет то, что терминология, используемая в маршрутизаторах, различается.

Безопасность общедоступного Wi-Fi

Часто гостевому пользователю или устройству IoT требуется доступ к Интернету, но не к чему-либо или кому-либо еще, использующему тот же маршрутизатор.Это имеет место в общедоступных сетях, таких как гостиница, кафе или в самолете. Я часто проверяю общедоступные сети, чтобы убедиться, что они не изолируют пользователей друг от друга, но никогда этого не делают.

Общедоступные сети Wi-Fi, для которых требуется пароль, часто называют безопасными, но если сеть не изолирует пользователей друг от друга, она небезопасна. Плохой парень, сидящий рядом с вами в кафе, может атаковать ваш компьютер из сети кафе, при этом Интернет вообще не нужен.

Пароли гостевой сети

Еще одним преимуществом гостевых сетей является то, что они могут (читать «должны») использовать другой пароль.Таким образом, хотя пароль для основной сети может быть длинным и сложным, пароль для гостей может состоять из двух слов или даже одного слова и некоторых специальных символов (например, «телевидение ++» или «$$$ здания»).

Требуемая надежность пароля гостевой сети может быть разной. Если сеть активируется только по мере необходимости, то пароль может быть относительно простым. Система ячеистого маршрутизатора AmpliFi подходит для этого, так как гостевая сеть может быть настроена на истечение срока действия через несколько часов. Однако, если гостевая сеть используется постоянно или используется устройствами Интернета вещей, ее пароль должен быть таким же безопасным, как и пароль основной сети.

Помимо второго пароля, гостевые сети также позволяют использовать другое шифрование. Если вам нужно использовать старое устройство, которое поддерживает только шифрование WEP или WPA, вы можете настроить гостевую сеть для этого устройства, сохраняя при этом безопасность основной сети с помощью WPA2.

Количество гостевых сетей, предоставляемых маршрутизаторами, сильно различается. Все новейшие системы ячеистых маршрутизаторов ограничены одной гостевой сетью. Многие маршрутизаторы предлагают две гостевые сети, по одной в каждом частотном диапазоне (2.4 ГГц и 5 ГГц). Мой любимый маршрутизатор Pepwave Surf SOHO может создавать три сети, но не назначает ни одну из них специально как гостевые. Некоторые маршрутизаторы Asus предлагают шесть гостевых сетей.

Закрытие бэкдоров роутера

Наконец, в большинстве маршрутизаторов есть два бэкдора, которые необходимо закрыть для обеспечения максимальной безопасности.

Предоставление пароля — не единственный способ войти в беспроводную сеть. Большинство маршрутизаторов поддерживают альтернативу, известную как WPS (Wi-Fi Protected Setup).8-значный пин-код WPS напечатан на этикетке маршрутизатора, который его поддерживает. С помощью этого пин-кода, а не пароля, беспроводные устройства могут подключиться к сети. Любой, кто может прикоснуться к вашему маршрутизатору, может перевернуть его, сфотографировать этикетку и навсегда войти в вашу сеть, даже если вы измените пароли Wi-Fi. Кроме того, сам пин-код был плохо спроектирован, поэтому в среднем требуется всего 5 500 угадываний, что легко могут сделать компьютеры.

Если ваш роутер поддерживает WPS, выключите его.

Среди последних моделей ячеистых маршрутизаторов, поддерживающих WPS, есть Linksys Velop, Netgear Orbi, Ubiquiti AmpliFi и D-Link Covr. С другой стороны, его отказались от Eero, Google Wifi, Luma и Plume.

Наша последняя проблема безопасности — это UPnP, протокол, который позволяет устройствам, подключенным к маршрутизатору, пробивать брешь в межсетевом экране маршрутизатора. Преимущество UPnP в том, что он упрощает настройку различных устройств IoT. Обратной стороной является то, что те же самые устройства остаются открытыми для доступа в Интернет и уязвимыми для хакеров.

На каждом маршрутизаторе по умолчанию включен UPnP. Это снижает стоимость технической поддержки как для производителя маршрутизатора, так и для вашего интернет-провайдера. Но если вы заботитесь о безопасности, отключите UPnP. Владельцы маршрутизаторов Apple вместо этого захотят отключить NAT-PMP, аналогичный протокол, разработанный Apple.

Это самые большие проблемы, но всегда есть больше, чем можно сделать для защиты маршрутизатора. На домашней странице моего сайта RouterSecurity.org есть как короткий, так и длинный список настроек безопасности.

Примечание редактора. Это наша вторая редакция этой статьи, написанная Майклом Горовицем в сентябре 2009 года и отредактированная Пэм Бейкер в апреле 2011 года.В дополнение к обновлению информации, эта редакция добавляет обсуждение безопасности маршрутизатора и гостевых сетей.

Защитите вашу сеть с помощью беспроводной безопасности

На протяжении тысячелетия, когда 802.11 был ратифицирован, любой меры безопасности было достаточно; просто наличие закрытого SSID было «безопасностью». Затем появился WEP, чтобы остановить несанкционированный доступ, однако вскоре он был взломан. Вот почему IEEE и WiFi Alliance разработали защищенный доступ к WiFi (WPA).

Защита WLAN (беспроводных локальных сетей) должна быть главной задачей.Изучение того, как защитить свои беспроводные сети от киберпреступников, — это разумное вложение вашего времени и энергии. Есть несколько простых способов снизить риск, устранить уязвимости и защитить пользователей и их данные. Сохранять бдительность непросто, но это важно. Правильное управление беспроводной сетью требует времени и энергии.

В этом блоге вы познакомитесь со стратегией многоуровневой защиты для защиты вас и ваших корпоративных активов и снижения рисков. В статье рассматриваются все меры безопасности применительно к модели OSI (Open System Interconnect).При необходимости выполните следующие действия, чтобы повысить безопасность беспроводной сети вашей компании.

L1 ФИЗИЧЕСКИЕ: Выключайте беспроводную сеть, когда в ней нет необходимости.

Выключение на периоды может оказаться целесообразным, а может и не оказаться целесообразным для ваших бизнес-операций. Очевидно, что в бизнесе, который работает круглосуточно и без выходных, это не вариант. Однако, если вы можете это сделать … выключите питание. Это единственная мера, которая делает нападение невозможным. Кроме того, если вы можете выключить какие-либо компьютеры, сделайте это.Выключение отдельных устройств также ограничит подверженность компьютеров риску. Помимо отключения в целях безопасности, есть и другие дополнительные преимущества. Это зеленое; вы экономите энергию и уменьшаете радиочастотный шум (как радиочастотные, так и электромагнитные помехи). Выключая все возможные беспроводные устройства, вы уменьшаете вероятность того, что устройства перейдут в режим энергоснабжения, например, скачок напряжения или провал, который может поставить под угрозу работу устройства или его критически важные данные.

L1 ФИЗИЧЕСКИЕ: Уменьшите утечку радиочастотного излучения, «закопав» точки доступа внутри вашего пространства.

Этой стратегии безопасности часто забывают. Размещая AP (точки доступа) подальше от здания, вы используете строительные материалы для ослабления сигнала. Чем сложнее «увидеть» ваш SSID (идентификатор набора услуг): тем сложнее его атаковать. Это хорошо не только для безопасности, но и для производительности, поскольку внешние зонды не будут добавляться к радиочастотному трафику в качестве излишней конкуренции.Как объяснялось в последнем разделе, эта стратегия может не подходить для вашего конкретного сайта или бизнес-модели. Представьте, что компания хочет обеспечить покрытие открытой территории; Точки доступа обычно размещают на внешних стенах рядом с открытым пространством. Таким образом, прилегающие внешние области получают выгоду от утечки радиочастотного излучения. Размещайте точки доступа только на внешних стенах по мере необходимости.

L2 LLC: не используйте SSID по умолчанию и убедитесь, что они неоднозначны.

Выбор SSID важен. Если вы транслируете SSID, вы можете захотеть, чтобы он был значимым для вашей аудитории, но не для посторонних.Не позволяйте посторонним легко определить, какой бизнес обслуживает WLAN. Держите SSID неоднозначным для типичного прохожего. Кроме того, никогда не используйте SSID по умолчанию, выданный производителем. Если бы вы использовали SSID по умолчанию, вы бы предоставили информацию о базовой беспроводной инфраструктуре. Если вы хотите сделать что-то одношаговое, дополнительно создайте фиктивный SSID, который отправляется в «черную дыру» (своего рода тупик для трафика). Этот SSID будет действовать как приманка. Вы также можете побудить хакера подключиться к SSID приманки, используя имя, которое делает его интересным для указанного хакера.Эта приманка может отвлечь хакера от вашего важного SSID и, надеюсь, помешать ему перейти к более легкой цели.

L2 MAC: убедитесь, что вы используете WPA2 Enterprise (802.1x), если это невозможно, и установите надежную и уникальную парольную фразу (PSK)

802.11 WLAN предлагают несколько вариантов шифрования. WEP, WPA и WPA2 — существующие стандарты шифрования, WPA3 — новый стандарт. WPA2 — это Wi-Fi Protected Access 2 ^{-го поколения} , протокол безопасности и текущий стандарт в отрасли (сегодня наиболее распространенными являются сети WPA2). WPA2 шифрует трафик в сетях Wi-Fi.Он также заменяет более старые и менее безопасные стандарты, такие как его предшественник WPA (защищенный доступ Wi-Fi). И WPA, и WPA2 вытеснили WEP (Wired Equivalent Privacy), и с 2006 года все сертифицированные продукты Wi-Fi предлагают безопасность WPA2.

СЕТЬ L3: измените IP-адрес и учетные данные по умолчанию на ваших беспроводных продуктах.

Если вы продолжите использовать IP-подсеть и IP-адрес по умолчанию для беспроводного устройства, вы упростите работу хакерам.По возможности меняйте IP-подсеть. Всегда меняйте IP-адреса по умолчанию для ваших точек беспроводного доступа и маршрутизаторов. Опытный хакер может выяснить эту информацию, но зачем упростить ему задачу или соблазнить начинающих хакеров, давая им удобное место для начала своей сетевой разведки.

Большинство беспроводных устройств поставляются с предварительно заданными именем пользователя и паролем по умолчанию, которые используются для подключения и установки ваших устройств. Это упрощает взаимодействие, но также позволяет другим легко угадывать учетные данные.Убедитесь, что имя пользователя и пароль изменены. Хороший пароль должен состоять не менее чем из 20 символов и включать цифры, буквы и различные символы. Очень важно хранить пароли в секрете. Один из способов сделать это — регулярно менять их на случай взлома.

СЕТЬ L3: Рассмотрение вопроса об отключении DHCP, если возможно.

Возможно, или не удастся устранить необходимость DHCP (протокол динамической конфигурации хоста) для ваших беспроводных устройств.Если пользователей всего несколько и гостевой доступ не требуется, ваш сетевой администратор может вручную назначить IP-адреса. Это затруднит подключение к WLAN. Широковещательные рассылки DHCP и их ответы несут информацию, которая помогает хакеру построить картину вашей сети, зачем распространять эту информацию, если вы не обязаны. Поймите, что во многих случаях ручная адресация хостов станет кошмаром для управления и сделает это невозможным, но, когда это возможно, отключите DHCP

L4 ТРАНСПОРТ: отключите удаленный доступ или удаленное администрирование

Большинство беспроводных устройств позволяют получить доступ к своему пользовательскому интерфейсу из напрямую подключенное устройство (через кабель, обеспечивающий последовательную связь).Однако многие продукты также допускают доступ из удаленных систем. Отключение удаленного доступа или Удаленное администрирование значительно затруднит получение доступа неавторизованным пользователем. Когда эта функция необходима, отфильтруйте, разрешив определенные IP-блоки для определенных IP-адресов, и открывайте только те протоколы, которые используются для связи.

L7 ПРИЛОЖЕНИЕ. Всегда обновляйте программное обеспечение маршрутизатора.

Программное обеспечение производителя WLAN (иногда называемое микропрограммным обеспечением) является важным элементом для правильной работы вашей беспроводной сети.Прошивка беспроводного устройства, как и любое другое программное обеспечение, может содержать ошибки, которые могут привести к серьезным проблемам и использоваться хакерами, если эти уязвимости не будут обнаружены и исправлены в обновлениях программного обеспечения. Регулярно и часто проверяйте веб-сайт производителя, чтобы убедиться, что прошивка вашего устройства самая последняя. Это может помочь предотвратить использование уязвимостей хакерами.

ЗАЩИТА СЕТИ, брандмауэр может помочь защитить вашу сеть Wi-Fi

Наличие хорошего брандмауэра выходит за рамки вашей беспроводной сети.Однако это еще один шаг в вашем подходе к эшелонированной защите. Брандмауэр, по сути, является первой линией защиты от атак на вашу беспроводную сеть через Ethernet, в отличие от радиоволн. Помните, что к вашему брандмауэру применяются многие из тех же правил, что и к вашим беспроводным устройствам, например изменение значений по умолчанию.

ЗАЩИТА УСТРОЙСТВ: Усильте защиту устройств, наиболее часто подключаемых к вашей домашней сети.

Каждое устройство в вашей сети является потенциальной площадкой для взлома, поэтому крайне важно обеспечить безопасность всех ваших устройств.Конечно, вы обезопасили проводные и беспроводные сети. Вы установили и обслужили свой маршрутизатор. Однако, если ваши хосты не защищены, риску подвергаются не только они, но и вся ваша инфраструктура.

Всегда устанавливайте антивирус и персональный брандмауэр на свои конечные точки. Поддерживайте программное обеспечение этих компьютеров в актуальном состоянии: чаще проверяйте и обновляйте при первой возможности. Наконец, используйте тот же многоуровневый подход к безопасности, который мы рекомендуем для всех остальных частей вашей сети.

ЗАКЛЮЧЕНИЕ

Чтобы дать некоторое представление о том, насколько широко распространены мобильные устройства и, следовательно, их беспроводная связь, с 2005 года количество смартфонов увеличилось в 100 раз.Обеспечение безопасности Wi-Fi — это не только важная задача, но еще и большая! Защита беспроводной сети вашей компании (а также всех подключенных систем и данных) имеет первостепенное значение для обеспечения безопасности вашей компании и защиты важных личных данных ваших клиентов. Меры безопасности, изложенные в этом документе, довольно просты; есть еще много действий, которые можно предпринять для дальнейшей защиты вашей беспроводной сети и окружающей сетевой инфраструктуры. Чтобы узнать больше, посетите веб-сайт производителя вашей беспроводной ЛВС.Вы можете искать информацию на веб-сайтах IEEE, SANS и ISC2, а также на многочисленных других промышленных сайтах, которые обращаются к WLAN и обеспечивают их безопасность. Удачи и оставайтесь в безопасности.

Эта статья была впервые опубликована в журнале Hakin9.

Биография автора: Джон Буссо — старший сетевой инженер / специалист по мобильности в CCSI. Он имеет почти 20-летний опыт работы в сфере безопасных решений для передачи голоса и данных.