Иногда нет возможности или необходимости защищать Wi-Fi сети средствами, использующими аутентификацию. В этих случаях можно использовать и другие способы защиты беспроводных Wi-Fi сетей.
На большинстве точек доступа присутствует функция контроля доступа по MAC-адресам. На устройстве задается список MAC-адресов, которым разрешена (или запрещена) работа в данной беспроводной сети. Сам по себе этот метод не является достаточным для обеспечения безопасности беспроводной сети, так как узнать и подделать MAC-адрес легитимного устройства не слишком сложно. Но как дополнительный уровень безопасности использовать его полезно. Также, многие точки доступа позволяют запретить широковещательную рассылку имени сети SSID (также используется понятие Hidden SSID). По умолчанию точка доступа транслирует SSID в эфир в открытом виде, запрет широковещательной рассылки затруднит посторонним пользователям подключение к вашей сети. Но, конечно, не исключит возможность такого подключения, поскольку SSID легко прослушать в момент подключения легитимного пользователя. В некоторых случаях запрет широковещательной рассылки SSID может вызвать проблемы при восстановлении потерянного соединения у легальных пользователей. Тогда вам придется либо экспериментировать с версиями прошивок точки доступа и драйверов сетевых адаптеров, либо смириться с тем, что рассылка SSID все-таки будет производиться.
Некоторые полезные советы для случаев, когда нет задачи сделать беспроводную сеть общедоступной:
На большинстве точек доступа присутствует функция контроля доступа по MAC-адресам. На устройстве задается список MAC-адресов, которым разрешена (или запрещена) работа в данной беспроводной сети. Сам по себе этот метод не является достаточным для обеспечения безопасности беспроводной сети, так как узнать и подделать MAC-адрес легитимного устройства не слишком сложно. Но как дополнительный уровень безопасности использовать его полезно. Также, многие точки доступа позволяют запретить широковещательную рассылку имени сети SSID (также используется понятие Hidden SSID). По умолчанию точка доступа транслирует SSID в эфир в открытом виде, запрет широковещательной рассылки затруднит посторонним пользователям подключение к вашей сети. Но, конечно, не исключит возможность такого подключения, поскольку SSID легко прослушать в момент подключения легитимного пользователя. В некоторых случаях запрет широковещательной рассылки SSID может вызвать проблемы при восстановлении потерянного соединения у легальных пользователей. Тогда вам придется либо экспериментировать с версиями прошивок точки доступа и драйверов сетевых адаптеров, либо смириться с тем, что рассылка SSID все-таки будет производиться.
Некоторые полезные советы для случаев, когда нет задачи сделать беспроводную сеть общедоступной:
- использовать WPA или хотя бы WEP в сочетании с 802.1x;
- если в устройствах изначально нет поддержки WPA, необходимо проверить обновления прошивок и драйверов и использовать только новые версии с поддержкой WPA;
- не используйте ключи WEP короче 128 бит, совместно с WEP используйте режим аутентификации Shared Key (а не Open System);
- изменить SSID, заданный по умолчанию, и отключить широковещательную рассылку SSID, однако при этом необходимо убедиться, что сеть продолжает работать нормально;
- задействовать функцию контроля доступа по MAC-адресам;
- ограничить площадь покрытия беспроводной сети только той территорией, где сеть действительно нужна, этого можно добиться правильным расположением точек доступа, применением направленных антенн и ограничением мощности передатчика (некоторые точки доступа имеют такую функцию);
- изменить пароль по умолчанию в интерфейсе управления точкой доступа;
- необходимо тщательно хранить ключ WEP и ключевую фразу WPA-PSK так же, как и любые другие пароли, не сообщайть их посторонним, не использовать простых комбинаций, периодически изменять ключи, немедленно изменить их в случае компрометации;
- не сообщайте посторонним информацию о настройках безопасности вашей сети, т.к. злоумышленнику легче использовать человеческий фактор, чем технические методы взлома.
Комментариев нет:
Отправить комментарий