Пять мифов о безопасности Wi-Fi Eric Geier
Маршрутизатор же в любом случае будет включать SSID в пакеты передаваемых данных, запросы на присоединение и повторное присоединение, а также в зондирующие запросы и ответы. Анализатор беспроводной сети мгновенно выделяет SSID из беспроводного трафика. И отключение широковещательной трансляции SSID ни в коей мере не является препятствием для того, кто вознамерился взломать вашу сеть. Миф 2. Включение фильтрации по MAC-адресам Уникальный адрес Media Access Control позволяет идентифицировать любое устройство в вашей сети. MAC-адрес состоит из блоков, включающих две шестнадцатеричные цифры, разделяющиеся двоеточием (например, 00:02:D1:1A:2D:12). Авторы мифа утверждают, что для защиты сети следует настроить маршрутизатор на конкретные MAC-адреса, определяющиеся в виде таблицы в пользовательском интерфейсе устройства. Не стоит утруждать себя этим. Хакеры используют анализатор беспроводной сети, способный видеть MAC-адреса разрешенных устройств. Поэтому злоумышленникам достаточно присвоить своему компьютеру один из MAC-адресов, имеющихся в таблице, которую вы с таким трудом составили. Фильтрация по MAC-адресам только осложнит жизнь законопослушным пользователям, поскольку им придется настраивать конфигурацию маршрутизатора всякий раз, когда они добавляют очередное устройство или предоставляют кому-нибудь гостевой доступ. Миф 3. Ограничение пула IP-адресов маршрутизатора Любое устройство в вашей сети идентифицируется уникальным адресом IP (Internet Protocol). Присваиваемый маршрутизатору IP-адрес представляет собой строку, состоящую из десятичных цифр и точек (например, 192.168.1.10). Сам же маршрутизатор выступает в роли сервера DHCP (Dynamic Host Control Protocol), присваивая IP-адреса подключаемым к нему устройствам. Согласно распространенному мифу, можно контролировать число устройств в своей сети, ограничивая пул IP-адресов, назначаемых маршрутизатором (в диапазоне, скажем, от 192.168.1.1 до 192.168.1.10). Это полная ерунда по той же причине, которая развеивает и следующий миф. Миф 4. Отключение сервера DHCP на маршрутизаторе В соответствии с логикой, положенной в основу этого мифа, вы можете защитить свою сеть, отключив на маршрутизаторе сервер DHCP и вручную присвоив IP-адреса каждому из устройств. Такой сценарий предусматривает создание таблицы IP-адресов и устройств, которым они присваиваются. Кроме того, каждое устройство вручную настраивается таким образом, чтобы оно использовало конкретный IP-адрес. Но если хакер уже проник в вашу сеть, просканировав ее, он очень быстро определит имеющиеся в ней IP-адреса. Потом хакер назначает соответствующий адрес своему устройству и получает полный доступ к сети. Основной же эффект от ограничения диапазона IP-адресов заключается в том, что вы сами себе осложняете процедуру подключения к сети новых устройств. Миф 5. В небольшие сети проникнуть труднее Согласно этому мифу, уменьшая мощность передатчика своего маршрутизатора, вы препятствуете тем самым обнаружению своей сети и подключению к ней. Однако это не лучшая идея, поскольку любой, кто пожелает взломать вашу беспроводную сеть, воспользуется мощной антенной, которая усилит сигналы вашего маршрутизатора. А теперь чистая правда: шифрование — самый лучший способ повышения сетевой безопасности. Итак, после того как мы развенчали все мифы о безопасности сетей Wi-Fi, давайте перейдем к самому лучшему способу защиты вашей беспроводной сети. Речь идет о шифровании (т.е. о засекречивании) передаваемых по сети данных, что предотвратит получение посторонними доступа к ним. Перехват и прослушивание позволят хакеру получить копию данных, но он не сможет прочитать их, пока у него не будет ключа к шифру. В настоящее время для шифрования используется стандарт Wi-Fi Protected Access 2 (WPA2), появившийся почти десять лет назад. (Если ваше оборудование поддерживает только устаревшие технологии WEP или WPA, имеет смысл подумать о его обновлении.) Как WPA, так и WPA2 имеет два режима: Personal (или Pre-Shared Key, PSK) и Enterprise (или Remote Authentication Dial In User Server, RADIUS). Режим WPA Personal предназначен для домашнего использования. Вы определяете на маршрутизаторе пароль, а затем вводите его при подключении к сети на компьютере или другом устройстве. Если пароль достаточно надежен, я рекомендую использовать не менее 13 алфавитно-цифровых символов, и тогде за безопасность сети можно не волноваться. Возможно, ваш маршрутизатор поддерживает функцию Wi-Fi Protected Setup (WPS), позволяющую подключать совместимое устройство к сети, защищенной с помощью WPA-2, путем нажатия соответствующей кнопки на маршрутизаторе и устройстве. Недостатком WPS является уязвимость этой технологии для атак, проводимых методом грубой силы или последовательного перебора. Поэтому имеет смысл сразу отключить функцию WPS.
