Защита трафика беспроводных сетей (часть 4)

В собственной предшествующей статье я говорил о значимости SSID точек беспроводного доступа, также мы разглядели фильтрацию MAC адресов. В этой части я желаю побеседовать о неких дополнительных функциях безопасности, которые обычно интегрированы в точки беспроводного доступа. Но следует учесть, что не все точки доступа владеют теми функциями, о которых я буду тут гласить.

Шифрование

Когда речь входит о защите беспроводных сетей, одной из функций безопасности, привлекающих наибольшее внимание, является шифрование. Беря во внимание это, я бы желал начать с предоставления некой базисной инфы о более всераспространенных функциях шифрования. Но тут необходимо принимать во внимание тот факт, что я буду гласить о механизмах шифрования, интегрированных в устройства беспроводного доступа. О способностях шифрования на уровне операционных систем мы побеседуем в одной из последующих частей этого цикла.

Без шифрования

Сначала этого цикла я ставил вопрос о том, что было бы, если б беспроводные сети вообщем не были зашифрованы. Это связано с тем, что по дефлоту на большинстве точек беспроводного доступа все соединения остаются незашифрованными.

Если вы собираетесь использовать шифрование на уровне ОС, как к примеру IPSec, либо вы собираетесь использовать общественное место беспроводного доступа Wi-Fi, то отсутствие шифрования будет полностью уместным. В неприятном случае я бы рекомендовал использовать одну из опций шифрования, о которых на данный момент речь пойдет.

WEP

Wired Equivalent Privacy (WEP) является методом шифрования первого поколения для беспроводных сетей. Сейчас большая часть точек беспроводного доступа все еще предлагает опцию WEP шифрования, но исключительно в целях оборотной сопоставимости. WEP шифрование было взломано много годов назад и сейчас считается опасным.

WPA-PSK [TKIP]

Wi-Fi Protected Access (WPA) был разработан в качестве механизма, в каком были устранены недочеты WEP. Есть несколько различных вариантов WPA, но самым всераспространенным является WPA-PSK. WPA-PSK просто значит, что шифрование строиться на использовании подготовительного ключа (pre-shared key).

Некие варианты реализации WPA употребляют протокол под заглавием TKIP, (аббревиатура для Temporal Key Integrity Protocol – протокол целостности временного ключа). TKIP генерирует 128-разрядный ключ для каждого пакета.

WPA2-PSK

WPA2-PSK является версией WPA последующего поколения. Хотя WPA2 все еще употребляет подготовительные ключи, он является более надежным благодаря TKIP в области режима Counter Mode с протоколом Cipher Block Chaining Message Authentication Code Protocol (CCMP). CCMP был доступен в неких методах внедрения WPA, но этот протокол является неотклонимым для WPA2. CCMP основан на методе Advanced Encryption Standard (AES), использующем 10 циклов шифрования для сотворения 128-разраядного ключа. В текущее время WPA2 является более предпочитаемым механизмом шифрования беспроводного трафика.

Очередной момент, который необходимо учитывать

Хотя шифрование, сначала, является механизмом безопасности на хоть какой точке беспроводного доступа, принципиально держать в голове, что одно только шифрование не гарантирует безопасности беспроводной сети. Полномасштабная безопасность может быть достигнута только при реализации глубинной защиты, другими словами вам нужно использовать и другие механизмы безопасности, которые могут быть вам доступны. В оставшейся части этой статьи пойдет речь о неких дополнительных компонентах безопасности, которые можно отыскать в неких точках беспроводного доступа.

Журнальчики (Logs)

Хотя часто этот компонент не настраивается, многие точки беспроводного доступа владеют обеспеченными способностями ведения журналов. К примеру, в применяемую мной точку беспроводного доступа интегрирован механизм записи журналов, которые делает записи в журнальчике при каждой попытке подключения. И, что более принципиально, точка доступа гласит вам, откуда исходит подключение (проводная сеть, беспроводная сеть либо веб), указывает IP адресок устройства, пытающегося подключиться, и номер порта, через который устройство пробовало подключиться.

Журнальчики на моей точке доступа также содержат записи всех попыток входа в консоль администрирования точки доступа. Эта функция позволяет с легкостью отследить пробы несанкционированного доступа.

Темные списки

Некие точки доступа включают различные темные списки. К примеру, многие точки беспроводного доступа предлагают темные списки, которые можно использовать для воспрещения доступа к определенным сайтам. Хотя эта функция вначале создавалась для блокирования нелегального контента, можно использовать такие темные списки в качестве метода предотвращения случайного доступа к вредным веб-сайтам. По сути, есть ряд сайтов, которые предлагают загружаемые темные списки вредных сайтов, и эти списки можно использовать в купе с темными перечнями точек доступа для понижения вероятности того, что юзеры посетят такие веб-сайты.

Естественно, не все темные списки содержат URL адреса. Некие точки беспроводного доступа также дают возможность заносить порты и сервисы в блэклист. К примеру, если вашей корпоративной политикой запрещено внедрение программ моментального обмена сообщениями, вы сможете использовать блэклист точки доступа для блокировки трафика таких программ. В данном случае, даже если юзеру удалось каким-то образом установить клиент моментального обмена сообщениями на свою рабочую станцию, этот клиент не будет работать.

Если вы решили использовать темные списки для блокировки определенных типов трафика в вашей сети, то полезно использовать списки блокировки портов и сервисов, при наличии таких.

Оповещения

Некие более классные точки беспроводного доступа обустроены различными механизмами оповещений. При соответствующем использовании такие механизмы могут стать большим преимуществом для общей безопасности беспроводной сети.

Основная мысль оповещений состоит в том, что админ может указать определенные условия, о которых вам необходимо знать. Это может быть что угодно. К примеру, вы желаете быть в курсе, когда юзер пробует посетить нелегальный сайт либо кто-то пробует войти в консоль администрирования точки беспроводного доступа. Некие точки можно настроить на оповещение админа в случае, когда юзер пробует подключиться к точке доступа вне рабочее время.

После указания критерий, при которых должно генерироваться оповещение, нужно настроить само оповещение. В различных точках беспроводного доступа различные функции оповещений, но, обычно, можно настроить точку доступа на отправку сообщения электрической почты либо текстового сообщения SMS при появлении подходящего действия.

Беспроводной сигнал

И последний нюанс безопасности беспроводных сетей, о котором я бы желал упомянуть, включает сигнал, производимый точкой беспроводного доступа. Некие точки доступа позволяют вам настраивать мощность сигнала. Если в вашей точке доступа есть такая функция, то, может быть, полезно понизить мощность сигнала, чтоб он проходил лишь на то расстояние, на которое вам необходимо. Только подумайте. Необходимо ли вашим сотрудникам подключаться к сети, находясь на расстоянии 3-х кварталов? Естественно, нет.

Хотя есть решения бизнеса, которые требуют массивных беспроводных сетей, нужно попробовать сделать так, чтоб ваш сигнал не выходил за границы физических границ вашей организации. Это сделает труднее задачку подключения к вашей сети сторонним лицам, находящимся за пределами таких границ.

Заключение

Итак, пока мы гласили о способностях безопасности, которые интегрированы в устройства беспроводного доступа. Но, вы, может быть, изумитесь, узнав, что ОС Windows также обладает рядом встроенных функций безопасности беспроводных сетей. Об этом и речь пойдет в последующих частях.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.