Безопасность WiFi

Сегодня многие из нас используют WiFi точки доступа для расширения своей сети. Несмотря даже на то, что скорость передачи информации по WiFi ниже, чем по проводной сети, такой способ доступа очень удобен особенно для ноутбуков и других беспроводных устройств (назовем их просто клиентами) и скорости обычно с лихвой хватает для большинства повседневных нужд. Однако, есть еще один важный момент, который необходимо принять во внимание, когда мы говорим о WiFi — это безопасность.

Чтобы перехватить информацию в проводной сети вам нужно физически к ней подключиться, а чтобы перехватить информацию, передаваемую по WiFi не нужно ничего. WiFi точка доступа это как радиостанция, а ваш ноутбук как автомобильный приемник, которым вы слушаете музыку. Где бы вы не находились, вы всегда сможете услышать сигнал радиостанции. Разница между радио и WiFi лишь в том, что во втором случае используется шифрование и теоретически не зная шифра вы не сможете прочитать ту информацию, которая передается в эфир. Теоретически потому, что на практике многие аглоритмы шифрования, которые используются в WiFi легко взламываются и подбираюся. В этом кратком обзоре я хочу рассотреть основные способы шифрования WiFi и показать какие из них хуже, какие лучше и что можно сделать для усиления безопасности.

WEP
Самый простой алгоритм шифрования. Поддерживается всеми точками доступа и клиентами. В качестве основы используется симметричный алгоритм RC4. Ключи имеют разрядность от 40 Бит и выше. Чем больше разрядность ключа, тем больше всевозможных комбинаций. При этом часть ключа явлется постоянной, а часть изменяется с течением времени (типа чтобы было сложнее подобрать). Но, в алгоритме есть один серъезный недостаток — периодически ключ шифрования повторяется и хакеру нужно просто поймать повторяющиеся части в эти моменты времени, а затем вычислить ключ.

Делается это в течении нескольких минут, если вы активно пользуетесь своей точкой доступа. В настоящее время этот тип шифрования беспроводной сети используется редко из-за его откровенной никчемности. Можно вообще не шифровать трафик, разница будет не велика, т.к. WEP гарантированно взламывается 🙂
WPA
Более продвинутый способ шифрования, однако тоже не идетальный. В основе используется все тот же RC4, но дополнительно применяются алгоритмы TKIP и MIC.
Суть первого в использовании динамических ключей, которые часто меняются, а суть второго — проверка целостности данных, чтобы исключить возможность подделки пакетов. Протокол WPA так же поддерживается всеми устройствами без проблем в его двух вариантах:
WPA-PSK — здесь используется заранее предопредленная ключевая фраза в качестве пароля. Этот вариант часть приаеняется в домашних условиях.
WPA-802.1x — доступ к сети осуществляется после проверки дополнительным сервером аутентификации. Этот способ наиболее подходит для крупных организаций.
Из этих двух вариантов легче всего взломать WPA-PSK, однако это будет все равно тяжелее, чем WEP. Чтобы еще больше усложнить жизнь хакерам был разработан стандарт WPA2.
WPA2
Основное отличие от WPA заключается в использовании более стойкого алгоритма шифрования AES. В остальном всё тоже самое.
Вместо заключения
Ну во-первых взломать WiFi не так уж просто как может показаться. Нет универсальной программы, которая по нажатию волшебной кнопки взламывает всё и вся. К тому же для взлома потребуется какой-нибудь дистрибутив Linux, т.к. из под Windows это сделать крайне сложно или вообще не возможно. Поэтому вероятность того, что вас взломает какой-нибудь «чайник» крайне мала, а специалистам в этой области вы скорее всего нафиг не нужны не представляете никакого интереса.
Во-вторых как я уже сказал выше, старайтесь не использовать алгоритмы WEP и даже WPA. Если ваша беспроводная точка поддерживает WPA2 — используйте только его, а пароль для подключения к сети делайте длинным (символов 12-16), состоящим из букв, цифр, символов. Если у вас есть программный роутер на базе, например, zeroshell, то можно сделать проверку подлинности через его RADIUS-сервер цифровыми сертификатами. Это будет наиболее стойкое к влому решение. Я обязательно покажу как это сделать в одном из обзоров по zeroshell.
В-третьих скрывайте SSID своей WiFi точки доступа, применяйте фильтрацию по MAC-адресу если это допустимо. Продвинутые точки доступа позволяют настроить несколько SSID, каждый из которых можно подключить к отдельной сети. Один SSID можно сделать для своих нужд с максимальными настройками шифрования, фильтрацией MAC и прочего, а второй SSID — для гостей с менее сильной защитой, но на фаерволе сделать ограничения к внутрисетевым ресурсам.

admin

Нужно войти чтобы оставить комментарий.