Настройка безопасности беспроводной сети. Безопасность Wi-Fi сети на Android в общественных местах. Безопасность беспроводной сети в общественных местах
Безопасность Wi-Fi на Android – это очень важный вопрос. Дело в том, что система защиты на подобных устройствах слабее, чем в компьютерах с операционной системой Windows. Более того, именно с Android-устройств мы чаще всего подключаемся к общественным сетям.
Безопасность беспроводной сети в общественных местах
Wi-Fi связь с каждым днем получает все большее распространение. В частности, все больше кафе, ресторанов и других общественных заведений устанавливают точки доступа, чтобы привлечь клиентов. Проблема таких точек доступа заключается в том, что, пользуясь ими, вы попадаете в зону повышенного риска.
Беспроводная технология освобождает нас от медных проводов. Основная теория беспроводной технологии заключается в том, что сигналы могут переноситься электромагнитными волнами, которые затем передаются в приемник сигналов. Но чтобы два беспроводных устройства понимали друг друга, нам нужны протоколы для связи.
Затем мы обсудим текущие проблемы безопасности с беспроводными сетями и ваши варианты решения этих проблем. Наконец, мы представим два метода, которые можно использовать для защиты ваших беспроводных сетей. Вы увидите две сильно усиленные концепции: аутентификацию и шифрование. Эти концепции станут клеем для наших двух рекомендованных методов безопасной беспроводной сети. Оба метода используют надежную аутентификацию, которая может основываться на клиентских сертификатах. Для более четкого понимания, читайте дальше.
Подключаясь к публичному роутеру в кафе или другом заведении, вы всегда должны помнить, что являетесь участником общественной группы, к которой может подключиться каждый желающий. То есть вероятность того, что среди посетителей кафе присутствует злоумышленник, весьма высока.
Почему злоумышленники выбирают общественные места? Все очень просто. Во-первых, такие соединения предоставляют выход в интернет, и мало какой клиент упустит возможность использовать бесплатный ресурс . Во-вторых, они подключаются к той же точке доступа, что и вы. Благодаря этому вы фактически попадаете в одну общую группу. В таких условиях перехватить пакеты данных гораздо проще. Это означает, что безопасность Wi-Fi в публичных сетях на низком уровне.
Примечание. Обратитесь к разделу «Чертежи» этой книги для сетевых карт двух рекомендованных беспроводных сетевых архитектур. Легче понять беспроводные технологии, разбив их на три уровня, как показано ниже. Три уровня - это устройство, физическое, приложение и сервис.
Таблица 1 Различные слои беспроводных технологий. Эти устройства используют беспроводные технологии для связи друг с другом. Физический уровень содержит различные механизмы физического кодирования для беспроводной связи. Многие проблемы безопасности могут быть прослежены до конечного пользователя в проводных сетях. Прежде чем ваше предприятие примет новейшие беспроводные сетевые технологии, вам необходимо будет.
От вашего устройства к точке доступа и обратно постоянно передаются пакеты с данными о браузере, паролях и так далее (в зависимости от того, на какие сайты вы заходите). Хакеры, в свою очередь, используют специальные программы , которые способны перехватывать эти пакеты данных и сохранять информацию на компьютере.
Понимать возможности существующих продуктов Понимать ваши сетевые потребности Понимать потенциальный риск, с которым вы сталкиваетесь Найти решение, адаптированное к вашей среде. Существуют две категории беспроводной технологии, отличающиеся расстояниями, которые они могут охватывать: беспроводную персональную сеть и беспроводную локальную сеть, как описано в следующих разделах.
Как предполагает название «личная сеть», такая сеть мала - в диапазоне около 10 метров. Следующим шагом будет выяснить, какие другие продукты и услуги вам понадобятся для настройки вашей беспроводной сети. Однако, прежде чем мы углубимся в решения, давайте посмотрим на потенциальные проблемы.
В любой момент хакер может посмотреть вашу информацию и использовать ее в своих целях. К примеру, узнать пароль от вашей почты, личных кабинетов на разных сайтах и даже ключи от систем электронных платежей.
Поэтому следует выполнить некоторые меры предосторожности.
Меры предосторожности при использовании публичной сети
Для того чтобы защитить Wi-Fi на Android, существует несколько простых правил:
Текущие проблемы безопасности в беспроводной сети
В беспроводной сети есть два имени. Существует два разных режима беспроводной сети. Специальный режим или независимый базовый сервисный набор Режим инфраструктуры или базовый набор услуг. В этом случае мы рекомендуем разместить межсетевой экран между ними, как мы более подробно расскажем ниже.
Следите за беспроводной сетью
Проблемы, с которыми мы фокусируемся, касаются того, как хакер может атаковать вашу сеть. Методика атаки следующая. Вы можете думать об этом как о том, чтобы ходить в дом и кричать «Кто-нибудь домой?» - люди в доме могут отвечать своими именами. Первый называется маяком. Второй пакет - это запрос зонда и ответ, а третий пакет - запрос и ответ на ассоциацию. Пока хакер находится в правильном диапазоне, вы в принципе не можете скрыть свою беспроводную сеть. Конечно, существуют некоторые экстремальные методы, такие как окружающий периметр металл или другие вещества, содержащие беспроводные сигналы.
- Установить Firewall – какой-либо антивирус , который обеспечивает высокий уровень защиты личной информации.
- Не использовать программы для общего доступа и расшаривания данных – FTP server, HTTP Share и так далее.
- Избегайте посещения таких сайтов как социальные группы, интернет-банки, системы электронных платежей, почта и так далее.
- Не проводите в публичных сетях какие-либо транзакции и переводы денег.
Помимо антивирусов, существует множество программ, которые позволяют работать с сетями – помогут узнать благонадежность точки доступа и проверить настройки безопасности. Благодаря таким приложениям вы сможете проверить, включена ли функция шифрования данных (WPA\WPA2) на роутере.
Оттуда вы можете выбрать любую доступную точку доступа для подключения. После определения беспроводной сети вы затем продолжаете анализ трафика. Анализ трафика позволяет определить, какие атаки следует запускать в беспроводной сети. Пассивная атака - это метод анализа перехваченного сетевого трафика и извлечения полезной информации из собранной исходной информации. Из-за физических свойств беспроводной сети вы можете выполнять захват трафика в любом месте до тех пор, пока сигнал достигнет вашей системы.
Вероятно, вы слышали о «нападении на автостоянку» или «вождении вождения». Как вы могли догадаться, эти методы иллюстрируют, что люди могут выполнять анализ трафика в автомобиле либо на парковке рядом с вашим зданием, либо просто водить окружающие улицы. Вероятно, лучшим сценарием для хакера и худшего для вас, системного администратора, является четкий текстовый трафик. Если нет защиты данных, передаваемых по беспроводной сети, тогда злоумышленник может легко обнюхать трафик и выполнить анализ протокола или данных позже, чтобы взломать вашу информацию на золото: данные кредитной карты, пароли и личные письма.
Одна из программ для защиты личных данных от злоумышленников в публичных точках доступа – это Hotspot Shield. Она создает зашифрованный канал между пользователем и точкой доступа. Все данные подвергаются криптографической обработке на протяжении всего пути следования до маршрутизатора и обратно.
Если данные не защищены, то вероятность того, что остальная часть настройки сети также небезопасна. Пользователь может использовать общий секретный ключ. Недостаток фактически уменьшает пространство клавиш 64-битной клавиши до 22 бит. Таким образом, злоумышленник может собрать достаточную информацию, чтобы попытаться обнаружить ключ в автономном режиме.
Инициирующий вектор представляет собой 3-байтовое случайное число, сгенерированное компьютером. Если злоумышленник может угадать один из пакетов открытого текста, то они могут расшифровать другой пакет, зашифрованный одним и тем же ключом. Злоумышленник, который хорошо знает корпоративную интрасеть, может отправить электронное письмо в сеть. Зная содержимое этого письма, злоумышленник может затем захватить трафик с беспроводной стороны, идентифицировать пакеты, связанные с электронной почтой, и узнать ключ, в итоге создав словарь для атаки в режиме реального времени в режиме реального времени.
Серьезной проблемой для всех беспроводных локальных сетей (и, если уж на то пошло, то и всех проводных локальных сетей) является безопасность. Безопасность здесь так же важна, как и для любого пользователя сети Интернет. Безопасность является сложным вопросом и требует постоянного внимания. Огромный вред может быть нанесен пользователю из-за того, что он использует случайные хот-споты (hot-spot) или открытые точки доступа WI-FI дома или в офисе и не использует шифрование или VPN (Virtual Private Network - виртуальная частная сеть). Опасно это тем, что пользователь вводит свои личные или профессиональные данные, а сеть при этом не защищена от постороннего вторжения.
Аутентификация и авторизация
Это просто базовая атака, с несколькими инструментами, доступными для прослушивания и декодирования. Эта атака требует модификации любого отдельного бита трафика, чтобы нарушить связь или вызвать другие проблемы. В настоящее время существует три способа аутентификации пользователей, прежде чем они смогут установить связь с беспроводной сетью.
Проблема с открытой аутентификацией заключается в том, что если у вас нет других механизмов защиты или проверки подлинности, ваша беспроводная сеть будет полностью открыта, как указано в названии. Механизм общей секретной аутентификации аналогичен системе аутентификации с запросом и ответом.
WEP
Изначально было сложно обеспечить надлежащую безопасность для беспроводных локальных сетей.
Хакеры легко осуществляли подключение практически к любой WiFi сети взламывая такие первоначальные версии систем безопасности, как Wired Equivalent Privacy (WEP). Эти события оставили свой след, и долгое время некоторые компании неохотно внедряли или вовсе не внедряли у себя беспроводные сети, опасаясь, что данные, передаваемые между беспроводными WiFi устройствами и Wi-Fi точками доступа могут быть перехвачены и расшифрованы. Таким образом, эта модель безопасности замедляла процесс интеграции беспроводных сетей в бизнес и заставляла нервничать пользователей, использующих WiFi сети дома. Тогда институт IEEE, создал рабочую группу 802.11i , которая работала над созданием всеобъемлющей модели безопасности для обеспечения 128-битного AES шифрования и аутентификации для защиты данных. Wi-Fi Альянс представил свой собственный промежуточный вариант этого спецификации безопасности 802.11i: Wi-Fi защищенный доступ (WPA – Wi-Fi Protected Access). Модуль WPA сочетает несколько технологий для решения проблем уязвимости 802.11 WEP системы. Таким образом, WPA обеспечивает надежную аутентификацию пользователей с использованием стандарта 802.1x (взаимная аутентификация и инкапсуляция данных передаваемых между беспроводными клиентскими устройствами, точками доступа и сервером) и расширяемый протокол аутентификации (EAP).
Пользователи беспроводной сети должны пройти аутентификацию на сервере аутентификации на другом конце беспроводной сети, чтобы получить авторизацию. Единственная известная проблема безопасности заключается в том, что при отсутствии взаимной аутентификации весь протокол уязвим для знаменитой атаки «человек в середине».
Активные атаки и отказ в обслуживании
Мы просто представили большинство проблем безопасности, используя пассивные атаки; однако, есть некоторые активные атаки, которые нужно учитывать. Если злоумышленник пробовал все вышеперечисленные методы и не смог, окончательным выбором могут быть атаки на отказ в обслуживании. Такие атаки могут привести к сбою беспроводной сети и нарушить обслуживание. Мы опишем атаки с двух разных уровней: физического уровня и уровня протокола.
Принцип работы систем безопасности схематично представлен на рис.1
Также, WPA оснащен временным модулем для шифрования WEP-движка посредствам 128 – битного шифрования ключей и использует временной протокол целостности ключей (TKIP). А с помощью контрольной суммы сообщения (MIC) предотвращается изменение или форматирование пакетов данных. Такое сочетание технологий защищает конфиденциальность и целостность передачи данных и гарантирует обеспечение безопасности путем контроля доступа, так чтобы только авторизованные пользователи получили доступ к сети.
Существует два способа физически отключить обслуживание беспроводной сети. Злоумышленник может нарушить обслуживание с уровня протокола. Помните, что мы говорили о создании ассоциаций для использования беспроводной сети? Если вы можете создать ассоциацию, тогда должен быть способ разобраться. Если вы можете аутентифицироваться, тогда должен быть способ неавторизованного доступа. Это плохой дизайн с точки зрения протокола. Не предполагайте, что только потому, что хакер не может получить доступ к беспроводной сети, нет другого способа атаковать его.
WPA
Дальнейшее повышение безопасности и контроля доступа WPA заключается в создании нового уникального мастера ключей для взаимодействия между каждым пользовательским беспроводным оборудованием и точками доступа и обеспечении сессии аутентификации. А также, в создании генератора случайных ключей и в процессе формирования ключа для каждого пакета.
Безопасность беспроводной сети в общественных местах
Предположим, что у вас есть беспроводная сеть, подключенная к интрасети и настроенная только для нескольких пользователей. Если какой-либо из этих интерфейсов управления не защищен, всегда есть шанс, что кто-то сможет воспользоваться настройкой по умолчанию.
Текущие меры противодействия безопасности беспроводной связи
Прежде чем вы решите убедить своего босса не создавать беспроводную сеть для своей интрасети, подумайте, как вы можете решить проблемы, которые мы изложили. Проблемы могут быть страшными, но именно поэтому вы читаете эту книгу. Как только вы узнаете методы, которые хакер может использовать для атаки на беспроводную сеть, вы можете защитить себя, закрыв эти отверстия. Если вы прочитали «Искусство войны» Сунь-Цзы, тогда вы должны знать это высказывание: «Если вы знаете врага и знаете себя, вам не нужно бояться результата сотен битв».
В IEEE стандарт 802.11i, ратифицировали в июне 2004 года, значительно расширив многие возможности благодаря технологии WPA. Wi-Fi Альянс укрепил свой модуль безопасности в программе WPA2. Таким образом, уровень безопасности передачи данных WiFi стандарта 802.11 вышел на необходимый уровень для внедрения беспроводных решений и технологий на предприятиях. Одно из существенных изменений 802.11i (WPA2) относительно WPA это использования 128-битного расширенного стандарта шифрования (AES). WPA2 AES использует в борьбе с CBC-MAC режимом (режим работы для блока шифра, который позволяет один ключ использовать как для шифрования, так и для аутентификации) для обеспечения конфиденциальности данных, аутентификации, целостности и защиты воспроизведения. В стандарте 802.11i предлагается также кэширование ключей и предварительной аутентификации для упорядочивания пользователей по точкам доступа.
Включение шифрования файлов
Остальная часть главы посвящена принципам, которые вы можете принять при разработке беспроводной сети. Но единственным принципом, который вы должны постоянно помнить, является «Оборона в глубине» - философия, согласно которой вы никогда не должны зависеть от единого механизма защиты ваших ценных активов.
Проектирование безопасной беспроводной сети
Использование клиентских сертификатов может сделать почти невозможным получение доступа злоумышленником. Беспроводную сеть следует рассматривать как сеть удаленного доступа и отделенную от корпоративной интрасети. Эти методы могут защитить вашу беспроводную сеть и другие электронные устройства, но их часто следует сопоставлять с реальным риском.
- В настоящее время нет способа скрыть это от потенциального злоумышленника.
- Разделите беспроводную сеть.
- Защитите свое здание или объект от электромагнитных помех.
WPA2
Со стандартом 802.11i, вся цепочка модуля безопасности (вход в систему, обмен полномочиями, аутентификация и шифрование данных) становится более надежной и эффективной защитой от ненаправленных и целенаправленных атак. Система WPA2 позволяет администратору Wi-Fi сети переключиться с вопросов безопасности на управление операциями и устройствами.
В таблице 9-2 перечислены некоторые плюсы и минусы каждого метода. Ссылаясь на раздел «Чертежи» этой книги, вы сможете представить себе архитектуру, которую мы здесь описываем. Этот сценарий обеспечивает простое в управлении, безопасное решение с надежной аутентификацией и шифрованием сетевого трафика. По сути, беспроводная сеть будет широко открыта, а интрасеть будет доступна только с надежной аутентификацией и шифрованием. Это может быть справедливым компромиссом для тех, кто ищет хорошее решение с меньшими затратами.
Запустите этот проект, разместив брандмауэр по периметру вашей интрасети, чтобы безопасно сегментировать беспроводную сеть. На данный момент интрасеть считается «позади» вашего брандмауэра. Конечно, если вам нужно получить доступ к интерфейсам управления, вам нужно будет добавить соответствующие правила.
Стандарт 802.11r является модификацией стандарта 802.11i. Данный стандарт был ратифицирован в июле 2008 года. Технология стандарта более быстро и надежно передает ключевые иерархии, основанные на технологии Handoff (передача управления) во время перемещения пользователя между точками доступа. Стандарт 802.11r является полностью совместимой с WiFi стандартами 802.11a/b/g/n.
Также существует стандарт 802.11w , предназначенный для усовершенствования механизма безопасности на основе стандарта 802.11i. Этот стандарт разработан для защиты управляющих пакетов.
Стандарты 802.11i и 802.11w – механизмы защиты сетей WiFi стандарта 802.11n.
Шифрование файлов и папок в Windows 7
Функция шифрования позволяет вам зашифровать файлы и папки, которые будет в последствии невозможно прочитать на другом устройстве без специального ключа. Такая возможность присутствует в таких версиях пакетаWindows 7 как Professional, Enterprise или Ultimate. Далее будут освещены способы включения шифрования файлов и папок.
Включение шифрования файлов:
Пуск -> Компьютер(выберите файл для шифрования)-> правая кнопка мыши по файлу->Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты->Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->
Включение шифрования папок:
Пуск -> Компьютер(выберите папку для шифрования)-> правая кнопка мыши по папку-> Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты-> Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->Закрыть диалог Свойства(Нажать Ok или Закрыть).
В обоих случая в области уведомления появится предложение сделать резервную копию ключа шифруемых файлов или папок. В диалоговом окне вы сможете выбрать место сохранения копии ключа (рекомендуется съемный носитель). Файл или папка изменит свой цвет при удачном шифровании.
Шифрование крайне полезно если вы делите свой рабочий компьютер с несколькими людьми.
Сфера применения
В большинстве случаев беспроводные сети (используя точки доступа и маршрутизаторы) строятся в коммерческих целях для привлечения прибыли со стороны клиентов и арендаторов. Сотрудники компании «Гет Вайфай» имеют опыт подготовки и реализации следующих проектов по внедрению сетевой инфраструктуры на основе беспроводных решений: