Конфигурация устройств в беспроводных сетях
Большинство пользователей устанавливают новое Wi-Fi оборудование без должного внимания к настройкам безопасности, стараясь побыстрее получить доступ к высокоскоростному Интернету. Такое отношение в дальнейшем приводит к осложнениям в сфере защиты информации. Но сегодня программы и устройства самого оборудования беспроводных сетей не предоставляют возможности исправить ситуацию, так как необходимая настройка всех систем требует довольно большого времени и не всегда понятна рядовому пользователю. Для решения данной ситуации с безопасностью в беспроводных сетяхрассмотрим несколько вариантов.
1. Главной частью Wi-Fi оборудования является точка доступа или маршрутизатор(Router).
Для структуризации продуктов в совокупности, производители беспроводного оборудования создают специализированные веб-страницы, через которые пользователи Wi-Fi могут входить в Интернет, используя свой собственный аккаунт и специализированный особый сетевой адрес. Такие веб-конструкции защищены логином и паролем, которые должны предоставлять доступ в сеть только зарегистрированным пользователям. Однако, эти данные, предоставленные самими производителями WiFi-оборудования прекрасно известны злоумышленникам в Интернете. Поэтому необходимо без промедления изменить все эти настройки.
2. Необходимо включить защиту шифрования WPA/WEP.
Все виды беспроводного оборудования имеют поддержку различных форм шифрования. Технология шифрования изменяет необходимым образом все данные, передаваемые с помощью беспроводной сети. Присутствие данных стандартов шифрования подразумевает, что не возможно будет для других пользователей прочитать ваши сообщения. Во второй части работы были рассмотрены несколько стандартов защиты; таким образом, необходимо выбрать наиболее эффективный режим безопасности при работе с WiFi-оборудованием.
3. Необходимо подключить Адресный Фильтр МАС.
Каждый элемент беспроводного оборудования имеет особый идентификатор, называемый физическим адресом или МАС-адресом. Маршрутизатор WiFi-оборудования сохраняет МАС-адреса всех устройств, которые подключаются к нему. Многие устройства предоставляют клиенту эту возможность в виде ключа в МАС-адресах беспроводного оборудования, позволяющего подключиться к сети только проверенным устройствам.
4. Необходимо изменить имя сети по умолчанию.
Маршрутизаторы в своей работе используют идентификатор сети SSID (Service Set Identifier). Производители сетевого оборудования поставляют устройства с одинаковыми настройками идентификатора. Знание идентификатора сети не означает, что кто-то незамедлительно влезет в сеть, но злоумышленник лишний раз убеждается, что пользователь данной WiFi сети не является знатоком в вопросах безопасности информации, и его систему возможно взломать.
5. Необходимо отключить передачу имени сети.
Маршрутизатор беспроводной сети в рабочем состоянии передает имя сети(SSID) спостоянным периодом в пространство. Такие действия были спроектированы для случаев, когда Wi-Fi пользователи могут заходить и выходить из зоны действия их собственной сети. Но в домашней сети данная функция роуминга не нужна, что повышает риск использования такой сетью посторонними клиентами.
6. Необходимо отключить автосоединение или не стоит подключаться через открытые WiFi-cети.
Подключение к Интернету через открытые WiFi «горячие» порты или через соседний маршрутизатор ведет к уменьшению защиты вашего собственного компьютера. В нормальном состоянии это не разрешено, однако устройства имеют такие настройки, которые предоставляют возможность подключиться к таким портам в автоматическом режиме, без уведомления пользователя.
7. Необходимо поставить статические IP на все устройства.
Большая часть WiFi-сетей используют динамические IP адреса. DHCP технология на современном этапе выступает в роли оптимального решения в этой части. В то же время именно эта технология предоставляет возможность перехватывать данные сети, в которых отображается статический IP из канала DHCP. В таком случае можно отключить DHCP маршутизаторе беспроводной сети, и вместо него задать фиксированный IP-адрес. После этого необходимо настроить каждое устройство сети соответствующим образом.
8. Необходимо активировать файерволы на каждом устройстве и на самом маршуртизаторе.
В маршрутизаторах имеются встроенные файерволы, однако существует настройка, позволяющая их отключить. Нужно убедиться, что на маршрутизаторе файервол включен. Также можно установить персональный файервол на каждое устройство, которое непосредственно связанно с самим маршрутизатором.
9. Местонахождение самого маршрутизатора и безопасность всей сети.
В нормальном состоянии сигналы беспроводных сетей могут немного выходить за границу здания. Однако, если сигнал выходит за пределы необходимого радиуса пользования нужными клиентами намного дальше – существует возможность перехвата такого сигнала и его использование. Для решения данной проблемы необходимо установить маршрутизатор в центре необходимой зоны, а не с краю. Это позволит уменьшить утечку сигнала.
10. Необходимо выключать беспроводную связь, если она не используется определённое время.
3.2Настройка безопасности беспроводной сети на примере роутера TP-Link
Рассмотрим основные настройки безопасности WiFi-сети на примере роутера TP-Link.
Включаем шифрование сети. По возможности используем тип шифрования WPA2-PSK
Рисунок 1
Включение шифрование сети
Если роутер настроен на использование шифрования WEP, его нужно изменить на WPA2, потому как WEP (WiredEquivalentPrivacy) устарел и имеет серьезные уязвимости. А WPA2 является наиболее сильным в использовании на данный момент. WPA стоит использовать только в том случае, если у Вас есть устройства не поддерживающие с WPA2.
Отключаем WPS.
Рисунок 2
Отключение WPS
Если пользователь не использует функцию WPS — необходимо её отключить. В некоторых моделях роутеров она является серьёзной уязвимостью из-за стандартной конфигурации.
Изменяем имя сети SSID, используемое по умолчанию.
Рисунок 3
Изменение имени сети SSID
Во многих случаях в качестве SSID (ServiceSetIdentifier) используется модель беспроводного маршрутизатора, что облегчает злоумышленнику взлом беспроводной сети. Поэтому обязательно надо его изменить на любой другой. В качестве имени может быть любое слово на латинице и цифры.
Изменяем пароль маршрутизатора по умолчанию.
Рисунок 4
Изменение пароля маршрутизатора по умолчанию
В качестве примера можно привести GPON ONT терминалы ZTE. Из-за того, что у них у всех по умолчанию использовался один и тот же пароль, который при настройке устройства никто не менял. Из-за этого много домашних сетей в крупных городах были взломаны. Соответственно злоумышленник мог получить доступ к настройке маршрутизатора, Интернет-каналу и домашней сети.
Включаем брандмауэр маршрутизатора.
Рисунок 5
Включение брандмауэра маршрутизатора
Практически все маршрутизаторы оснащены встроенным брандмауэром (он же файервол), который по умолчанию может быть отключен. Необходимо убедиться, что он включен. Для еще большей безопасности надо убедиться, что каждый компьютер в вашей сети также использует брандмауэр и антивирусное программное обеспечение.
Включаем фильтрацию МАС-адресов клиентов беспроводной сети.
Рисунок 6(а)
Включение фильтрации МАС-адресов
Каждый компьютер, ноутбук или мобильное устройство имеет уникальный идентификатор в сети, называемый MAC-адрес. Это позволяет WiFi роутеру отслеживать все устройства, подключенных к нему. Многие WiFi маршрутизаторы позволяют администраторам физически ввести MAC-адреса устройств, которым можно подключиться к сети.
Рисунок 6(б)
Включение фильтрации МАС-адресов
Таким образом к Вашей домашней сети смогут подключиться только те устройства, которые есть в таблице. Другие вообще не смогут, даже если подберут пароль.
Отключаем удаленное администрирование.
Большинство маршрутизаторов позволяют администраторам удаленно подключаться из сети Интернет к веб-интерфейсу или командной строке устройства. Если вам не нужно это, отключить эту функцию. Из локальной сети настройки устройства всё равно будут доступны.
Рисунок 7
Отключение удаленного администрирования
Заключение
В данной курсовой работе проводилось исследование методов повышения защиты данных при передаче их с помощью беспроводных сетей.
Для достижения цели курсовой работы, были выполнены следующие задачи:
1) изучен принцип работы беспроводной сети;
2) были исследованы виды угроз и их отрицательное воздействие на работу беспроводных сетей;
3) проанализированы средства защиты информации беспроводных сетей от несанкционированного доступа;
4) произведена защита беспроводной сети от несанкционированного доступа к ней.
Проведенный анализ угроз беспроводных сетей показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.
Обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать режим WPA2. WPA2 является обновленной программой сертификации устройств беспроводной связи. В данном режиме усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм. Данный режим безопасности был применён при настройке роутера беспроводной сети TP-Link.
В ходе исследования все поставленные задачи были выполнены. Цель курсовой работы достигнута.