Беспроводные технологии — наиболее активно развивающаяся отрасль технологий локальных сетей, и на то есть веские причины. Возможность перемещаться по рабочей среде, сохраняя при этом доступ к локальной сети и даже к Internet, положительно влияет на производительность. Однако беспроводные сети (WLAN) имеют ряд недостатков, самый существенный из которых относится к сфере безопасности. Во многих организациях допускается развертывание беспроводных сетей на уровне отделов вообще без каких-либо мер безопасности. Если кто-нибудь объединяет такие беспроводные сети с корпоративной сетью, возникает опасность появления огромной прорехи в системе безопасности этой сети. Предлагаю вниманию читателей 10 советов, которые помогут сделать сети 802.11b более защищенными.
10. Обеспечьте защиту станции доступа (AP). Защищенность сети начинается с физической безопасности: нельзя выставить беспроводную AP на всеобщее обозрение и надеяться, что она будет в безопасности. Обращайтесь со своими AP как с концентраторами — ограничьте физический доступ к ним, храня под замком вдали от посторонних глаз. Чтобы уменьшить вероятность прослушивания сигнала извне, старайтесь располагать AP ближе к внутренней части здания.
9. Устанавливайте беспроводные AP за пределами основного брандмауэра. Когда AP располагается вне брандмауэра, сеть получает дополнительный уровень защиты за счет того, что беспроводные пользователи воспринимаются как «чужие». Если установить WLAN можно только внутри брандмауэра, то для изоляции трафика WLAN следует воспользоваться демилитаризованной зоной (DMZ), экранированной подсетью или виртуальной локальной сетью (VLAN).
8.Измените настройку по умолчанию Service Set Identifier (SSID). Настройка SSID является механизмом именования беспроводных устройств. Это не вполне надежная мера защиты, но выявление SSID сети WLAN — первая задача хакера при взломе сети. Для того чтобы усложнить ее, измените значение SSID, установленное по умолчанию, и выберите такое имя SSID, которое трудно угадать.
7.Отключите функцию автоматического транслирования SSID. По умолчанию многие AP транслируют SSID, для того чтобы упростить подключение беспроводных устройств. Однако в то же время это упрощает взломщикам задачу раскрытия SSID. Отключение трансляции SSID поддерживается в большинстве AP, хотя для более старых устройств может потребоваться модернизация встроенных программ.
6.Задействуйте ограничение используемых MAC-адресов. Как и стандартные сетевые карты, каждая беспроводная карта имеет уникальный MAC-адрес. Настройка AP на разрешение доступа к сети только тем устройствам, которые имеют зарегистрированные MAC-адреса, дополнительно защитит вашу сеть.
5.Включите шифрование Wired Equivalent Privacy (WEP). Хотя стандарт WEP известен своими ошибками, которыми может воспользоваться опытный взломщик, он предотвратит несанкционированный доступ к WLAN случайных пользователей.
4.Смените значение шифра WEP, установленное по умолчанию. Одна из распространенных ошибок, которую допускают многие администраторы, когда включают WEP, заключается в том, что они используют шифр, установленный по умолчанию поставщиком. Секретный шифр лежит в основе WEP-защиты, а WEP-шифры, устанавливаемые по умолчанию, хорошо известны. После смены шифра вы будете уверены, что он уникален.
3.Меняйте WEP-шифр регулярно. Некоторые дорогие устройства стандарта 802.11 могут автоматически управлять WEP-шифрами, используемыми во всей сети WLAN, но большинство решений требуют изменения шифра вручную. Для того чтобы уменьшить уязвимость шифрования, составьте расписание для регулярного изменения WEP-шифров, которые используются в организации.
2.Отслеживайте наличие посторонних сетей. Используйте такие инструменты, как AirMagnet Laptop и Marius Milner?s NetStambler, для поиска неучтенных сетей. Отделы, в которых не приняты меры безопасности, могут строить сети WLAN и непреднамеренно подрывать безопасность всей сети организации.
1.Для большей защищенности используйте виртуальные частные сети (VPN). Защита с помощью WEP — это лучше, чем ничего, но ее нельзя считать абсолютно надежной: несколько хорошо известных «червей» могут взламывать WEP. Для того чтобы добиться максимально возможной защищенности современных устройств 802.11, реализуйте VPN-подключение беспроводных устройств к своей сети. VPN позволяет создать очень устойчивый к вторжениям извне зашифрованный канал для беспроводного трафика.
Майкл Оти — старший технический редактор Windows & .NET Magazine и президент компании TECA. С ним можно связаться по адресу: mikeo@teca.com.