Нови статии
bash scripts
CPU-frequency scalin...
Oбновявания на ОС W...
install zoneminder 1...
Installing mysql Mar...
Теми във форума
Нови теми
Малък лек и удобен д...
Клавишни комбинации ...
Инсталация на Arch L...
Защитна стена за мик...
Linux
Най-активни теми
Color console linux [4]
Клавишни комбинац... [1]
Защитна стена за ... [1]
Linux [1]
Малък лек и удобе... [0]
Приятели
Сега
Времето
Йерархия на статиите
Статии » Сигурност » Как правилно да защитаваме Wi-Fi мрежи
Как правилно да защитаваме Wi-Fi мрежи
На безжичните мрежи можем да се доверим изцяло, ако приложим правилните мерки за безопасност.

Много корпоративни купувачи все още се опасяват да използват елементи от безжичната инфраструктура в локалните мрежи. Отчасти тези опасения са обосновани, но ако се следват най-простите препоръки, може да се изгради WLAN мрежа, чиято защитеност не оставя на зложелателите никакви шансове за достъп до критично важна информация.

Мрежите Wi-Fi по същество са уязвими към взлом и подслушване, но на безжичните мрежи може да се разчита напълно, ако се прилагат необходимите мерки за безопасност. За съжаление в Интернет е пълно с остарели съвети и митове по този повод. Ще ви предложим правила за обезпечаване на безопасност на Wi-Fi, развенчаващи някои от тези митове.

1. Не ползвайте WEP

Алгоритъмът WEP (Wired Equivalent Privacy) е безнадеждно остарял. Реализираният в него шифър може лесно и да бъде разбит дори от неопитни хакери, затова WEP е добре да не се ползва изобщо. На онези, които все още го правят, се препоръчва незабавно да преминат на WPA2 (Wi-Fi Protected Access) с автентификация 802.1X — стандартът 801.11i. Потребителите със стари клиентски устройства или точки за достъп, неподдържащи WPA2, могат да обновят системния им или просто да си купят ново оборудване.

2. Не ползвайте WPA/WPA2-PSK

Режимът с общ ключ (pre-shared key, PSK) с протоколи WPA и WPA2 е недостатъчно надежден за корпоративни или всякакви организационни среди. При използване на дадения режим на всяко клиентско устройство трябва да се въведе предварително зададен условен ключ. Този ключ трябва да се променя всеки път, когато организацията бъде напусната от поредния служител или когато клиентско устройство бъде загубено или откраднато. За повечето среди това е непрактично.

3. Внедрете 802.11i

Режимът Extensible Authentication Protocol (EAP) с протоколи WPA и WPA2 се базира на автентификация по стандарта 802.1X, а не на общи ключове, благодарение на което за всеки потребител или клиентско устройство може да заведе собствен набор поверителни данни - име и парола и/или цифров сертификат.

Самите ключове за шифроване редовно се променят автоматично във фонов режим. Така че за изменение на параметрите за достъпа на потребителите или да бъде лишен от права е достатъчно да се променят поверителните данни на централния сървър, а не е нужно за всеки клиент да се променя общият ключ. Уникални еднократни ключове, действащи само в течение на сеанса, също не дават на потребителите възможности да прихващат трафик един от друг, което днес става лесно с помощта на Firesheep, допълнение за Firefox или DroidSheep, приложения за Android.

Следва да се има предвид, че за максимална безопасност е нужно да се ползва WPA2 с 802.1X — съчетание, известно и като 802.11i.

За поддръжка на автентификация 802.1X е нужен сървър RADIUS/AAA. Ако се ползва Windows Server 2008 или по-нова версия може да се пробва Network Policy Server (NPS) или Internet Authenticate Server (IAS) от предишните версии на тази операционна . Тези, които нямат Windows Server, могат да пробват сървър с отворен код FreeRADIUS.

При използване на Windows Server 2008 R2 или по-нов можете да разпратите настройките 802.1X към присъединените към домейна клиентски устройства посредством модификация на груповата политика. В други случаи за настройка на клиентски устройства може да се ползват външни решения.

4. Защитете параметри за автентификация 802.1X на клиентски устройства

Режимът EAP в WPA/WPA2 е уязвим за посреднически атаки. Те могат да бъдат предотвратени чрез защита на настройките EAP в клиентското устройство. Например в настройките EAP в Windows може да се включи проверка на действителността на сертификата на сървъра. Това се прави чрез избор на сертификата на удостоверяващия център (CA), указване на адреса на сървъра и изключване на възможността потребителите да се доверяват на нови сървъри или нови сертификати от удостоверяващия център (CA).

Настройките 802.1X могат да се разпратят и към присъединените към домейна клиентски устройства посредством групова политика или да се ползва решение на трети страни, например Quick1X на компанията Avenda.

5. Задължително ползвайте за блокиране на прониквания (IPS) в безжични мрежи

Осигуряването на безопасност в Wi-Fi не се ограничава до непосредствената борба с опитите да получат несанкциониран достъп до мрежите. Хакерите могат да създават фиктивни точки за достъп до мрежите или провеждат атаки тип „отказ от обслужване“. За да бъдат разпознати такива прониквания и да се борим с тях, трябва да бъдат внедрени безжична за предотвратяване на прониквания. Конструктивно такива системи на различните доставчици могат да се отличават, но по правило всички те прослушват ефира в търсене на фиктивни точки за достъп и зложелателна активност, като се стараят да я блокират и да предупредят сисадмина.

Съществуват доста компании, предлагащи решения от такъв тип, например AirMagnet и AirTight Networks. Има и варианти с отворен код, например Snort.

6. Ползвайте NAP или NAC

В допълнение към 802.11i и безжичната за предотвратяване на прониквания е препоръчително да се ползва технологията Microsoft Network Access Protection (NAP) или за контрол на достъпа до мрежата (Network Access Control, NAC). Те могат да обезпечат допълнителен контрол над достъпа до мрежите по принципа на идентификация на клиентското устройство и определяне на неговото съответствие със зададената политика. Те могат да изолират проблемните клиенти и принудително да осигуряват тяхното съответствие с политиката.

В някои NAC решения може да има и механизми за разпознаване и предотвратяване на прониквания, но трябва да се убедите, че те са предназначени именно за безжични мрежи. Сисадмините на среди на базата на Windows Server 2008 или по-нови версии с клиентски устройства, работещи с Windows Vista или по-нова ОС, могат да се възползват от технологията Microsoft NAP. В други случаи се прилагат решения на трети страни, например PacketFence с отворен код.

7. Не разчитайте на скрити SSID

Един от митовете при безжичната безопасност е, че изключването на бродкаст изпращането на идентификатори за безжични мрежи (SSID) ще скрие вашата мрежа или поне самия SSID идентификатор от хакерите. Такава опция обаче само отделя SSID от сигналните кадри на точките за достъп. Идентификаторите на мрежите продължават да присъстват в заявките на асоциацията 802.11, а в някои случаи и в пакетите за проверка и отговорите на тези пакети. Затова „подслушвачът“ може да намери „скрита“ SSID доста , особено в мрежи с голяма активност с помощта на легален анализатор на безжични мрежи.

Битува и мнение, че изключването на публикуването на SSID създава допълнително ниво на сигурност, но не трябва да се забравя, че това може да окаже негативно влияние върху бързодействието на мрежите и да увеличи сложността на конфигурирането. Ще се наложи ръчно въвеждане на SSID в клиентите, което допълнително усложнява тяхната настройка. Освен това се увеличава броят на сондиращите и ответни пакети, като по този начин се намалява достъпната пропусквателна способност.

8. Не се доверявайте на филтриране по MAC адрес

Още един мит за защитата на безжични мрежи: включването на филтриране по MAC адрес позволява да се създаде допълнително ниво на сигурност, предотвратявайки допускането на външни клиенти до мрежата. Това е вярно в известна степен, но трябва да помним, че при подслушване на трафика атакуващите лесно могат да разберат разрешените MAC адреси и да ги подправят на своите устройства.

Затова не си струва да се разчита на надеждността на MAC филтрирането, макар че тази функция може да се ползва за ограничаване на възможностите на потребителите да свързват към мрежите несанкционирани устройства и компютри. Трябва да се има предвид и сложното управление и своевременно обновяване на списъка от MAC адреси.

9. Ограничете набора от SSID, към който могат да се свързват потребителите

Много системни администратори пропускат наглед простия, но потенциално сериозен риск: потребители, специално или непреднамерено свързали се към съседна или несанкционирана безжична мрежа, отварят своите компютри за възможно вражеско проникване. Един от способите да се предотврати тази опасност е филтрирането на SSID. В Windows Vista и по-новите версии например може да се създадат филтри на допустимите SSID с помощта на командата nethsh wlan. На настолните PC-та могат да се забранят всички SSID, освен вашата собствена безжична мрежа, а на лаптопите могат просто да се забранят SSID на съседни мрежи, но да се запази възможността за свързване към обществени зони за достъп или домашни безжични мрежи.

10. Не забравяйте за защитата на мобилните клиенти

Грижите за безопасността на Wi-Fi не трябва да се ограничават до собствената мрежа на организацията. Потребители със смартфони и таблети може да са защитени, когато се намират в офиса, но какво ще стане, когато те се свързват към обществени зони за безжичен достъп или към домашните си мрежи? Струва си да се помисли за защита и на тези връзки от прониквания и подслушвания.

За съжаление външните връзки през Wi-Fi се защитават по-трудно. За целта на потребителите трябва да се предоставят и препоръчат определени решения, а също така те да бъдат „просветени“ относно рисковете за безопасността и мерките за тяхното неутрализиране.

Първо, на всички лаптопи трябва да работят персонални защитни стени (например WIndows Firewall) за предотвратяване на прониквания. При използване на Windows Server това може да стане чрез съответната групова политика или с помощта на решения за управление на невлизащи в домейна компютри, например Windows Intune.

Второ, трябва да се обезпечи шифроване на целия интернет трафик на потребителите за защита от прихващане от външни мрежи. За целта достъпът на потребителите до мрежата

на неговата организация трябва да става само през виртуална частна мрежа. Ако системният администратор не желае да предостави за такива цели собствената VPN на организацията, могат да се ползват и външни услуги от типа на Hotsopt Shield или Witopia. В iOS (на iPhone, iPad и iPod Touch) и Android устройствата могат да се инсталират вградени VPN клиенти. За ползване на VPN клиентите обаче устройствата на базата на платформата BlackBerry и Windows Phone 7 трябва да се снабдите със сървър за обмен на съобщения.

Трябва да се проследи и дали всички услуги на организацията, „гледащи“ в Интернет, са защитени — просто в случай, че потребителят няма да ползва VPN, ако се намира в публична или недоверена мрежа. Например ако организацията предоставя външен достъп до електронна поща (чрез пощенски клиент или Web), е необходимо да се ползва SSL криптиране, така че да не се позволи на локален подслушвач в недоверената мрежа да проследи доверителните данни или съобщения на потребителя.


Статията е вземата от http://networkworld.bg

Публикувана от admin на August 16 2012
Коментари
Няма написани коментари
Напишете коментар
Трябва да сте регистриран за да напишете коментар
Оценки
Оценяването е достъпно единствено за потребителите.

Влезте в акаунта си или се регистрирайте за да можете да давате оценки.

Няма оценки
Вход
Потребител

Парола



Не сте потребител?
Натиснете тук за да се регистрирате.

Забравихте паролата си?
Поискате си нова тук.
Downloads

New Downloads

NAVIGON-Europe ...
NAVIGON Europe ...
NAVIGON Europe ...
NAVIGON Europe ...
µTorrent 3.4.1 ...
BitTorrent 7.9....
ProgDVB 7.04.2 ...
ProgDVB 7.04.2 ...
Wine 1.7.17
sakis3g
Wise Disk Clean...
DAEMON Tools Li...
opam
TurboFTP 6.30 B...
Skype 6.3.73.10...
FileZilla 3.7.0...
ChrisTV 5.75
BSPlayer Pro 2....
Rotativki
SquirrelMail + ...

Top 10 Downloads

n-Track Studio ... [7446]
Super MP3 Downl... [7298]
Registry Mechan... [7268]
Microsoft Secur... [7228]
Hiren`s v10.0.9 [6890]
K-Lite Mega Cod... [6424]
Rotativki [6335]
BitComet 1.21 F... [6332]
Slax + Hiren's ... [4416]
WinSetup From USB [4061]
Ново от Калдата