Введение

В своей предыдущей статье я рассказывал о важности SSID точек беспроводного доступа, а также мы рассмотрели фильтрацию MAC адресов. В этой части я хочу поговорить о некоторых дополнительных функциях безопасности, которые обычно интегрированы в точки беспроводного доступа. Однако следует учитывать, что не все точки доступа обладают теми функциями, о которых я буду здесь говорить.

Шифрование

Когда речь заходит о защите беспроводных сетей, одной из функций безопасности, привлекающих наибольшее внимание, является шифрование. Учитывая это, я бы хотел начать с предоставления некоторой базовой информации о наиболее распространенных опциях шифрования. Но здесь нужно принимать во внимание тот факт, что я буду говорить о механизмах шифрования, встроенных в устройства беспроводного доступа. О возможностях шифрования на уровне операционных систем мы поговорим в одной из следующих частей этого цикла.

Без шифрования

В начале этого цикла я ставил вопрос о том, что было бы, если бы беспроводные сети вообще не были зашифрованы. Это связано с тем, что по умолчанию на большинстве точек беспроводного доступа все соединения остаются незашифрованными.

Если вы собираетесь использовать шифрование на уровне ОС, как например IPSec, или вы собираетесь использовать публичное место беспроводного доступа Wi-Fi, то отсутствие шифрования будет вполне уместным. В противном случае я бы рекомендовал использовать одну из опций шифрования, о которых сейчас пойдет речь.

WEP

Wired Equivalent Privacy (WEP) является алгоритмом шифрования первого поколения для беспроводных сетей. Сегодня большинство точек беспроводного доступа все еще предлагает опцию WEP шифрования, но только в целях обратной совместимости. WEP шифрование было взломано много лет назад и сегодня считается небезопасным.

WPA-PSK [TKIP]

Wi-Fi Protected Access (WPA) был разработан в качестве механизма, в котором были устранены недостатки WEP. Есть несколько разных вариантов WPA, но самым распространенным является WPA-PSK. WPA-PSK просто означает, что шифрование строиться на использовании предварительного ключа (pre-shared key).

Некоторые варианты реализации WPA используют протокол под названием TKIP, (аббревиатура для Temporal Key Integrity Protocol - протокол целостности временного ключа). TKIP генерирует 128-разрядный ключ для каждого пакета.

WPA2-PSK

WPA2-PSK является версией WPA следующего поколения. Хотя WPA2 все еще использует предварительные ключи, он является более надежным благодаря TKIP в области режима Counter Mode с протоколом Cipher Block Chaining Message Authentication Code Protocol (CCMP). CCMP был доступен в некоторых способах применения WPA, но этот протокол является обязательным для WPA2. CCMP основан на алгоритме Advanced Encryption Standard (AES), использующем десять циклов шифрования для создания 128-разраядного ключа. В настоящее время WPA2 является наиболее предпочитаемым механизмом шифрования беспроводного трафика.

Еще один момент, который нужно учесть

Хотя шифрование, в первую очередь, является механизмом безопасности на любой точке беспроводного доступа, важно помнить, что одно лишь шифрование не гарантирует безопасности беспроводной сети. Полномасштабная безопасность может быть достигнута только при реализации глубинной защиты, то есть вам необходимо использовать и другие механизмы безопасности, которые могут быть вам доступны. В оставшейся части этой статьи речь пойдет о некоторых дополнительных компонентах безопасности, которые можно найти в некоторых точках беспроводного доступа.

Журналы (Logs)

Хотя зачастую этот компонент не настраивается, многие точки беспроводного доступа обладают богатыми возможностями ведения журналов. Например, в используемую мной точку беспроводного доступа интегрирован механизм записи журналов, которые создает записи в журнале при каждой попытке подключения. И, что более важно, точка доступа говорит вам, откуда исходит подключение (проводная сеть, беспроводная сеть или интернет), показывает IP адрес устройства, пытающегося подключиться, и номер порта, через который устройство пыталось подключиться.

Журналы на моей точке доступа также содержат записи всех попыток входа в консоль администрирования точки доступа. Эта функция позволяет с легкостью отследить попытки несанкционированного доступа.

Черные списки

Некоторые точки доступа включают разные черные списки. Например, многие точки беспроводного доступа предлагают черные списки, которые можно использовать для запрещения доступа к определенным веб-сайтам. Хотя эта функция изначально создавалась для блокирования незаконного контента, можно использовать такие черные списки в качестве способа предотвращения случайного доступа к вредоносным сайтам. На самом деле, есть ряд веб-сайтов, которые предлагают загружаемые черные списки вредоносных веб-сайтов, и эти списки можно использовать в сочетании с черными списками точек доступа для снижения вероятности того, что пользователи посетят такие сайты.

Конечно, не все черные списки содержат URL адреса. Некоторые точки беспроводного доступа также дают возможность вносить порты и сервисы в черный список. Например, если вашей корпоративной политикой запрещено использование программ мгновенного обмена сообщениями, вы можете использовать черный список точки доступа для блокировки трафика таких программ. В этом случае, даже если пользователю удалось каким-то образом установить клиент мгновенного обмена сообщениями на свою рабочую станцию, этот клиент не будет работать.

Если вы решили использовать черные списки для блокировки определенных типов трафика в вашей сети, то полезно использовать списки блокировки портов и сервисов, при наличии таковых.

Оповещения

Некоторые более высококлассные точки беспроводного доступа оснащены разными механизмами оповещений. При надлежащем использовании такие механизмы могут стать огромным преимуществом для общей безопасности беспроводной сети.

Основная идея оповещений заключается в том, что администратор может указать определенные условия, о которых вам нужно знать. Это может быть что угодно. Например, вы хотите быть в курсе, когда пользователь пытается посетить запрещенный веб-сайт или кто-то пытается войти в консоль администрирования точки беспроводного доступа. Некоторые точки можно настроить на оповещение администратора в случае, когда пользователь пытается подключиться к точке доступа вне рабочее время.

После указания условий, при которых должно генерироваться оповещение, необходимо настроить само оповещение. В разных точках беспроводного доступа разные опции оповещений, но, как правило, можно настроить точку доступа на отправку сообщения электронной почты или текстового сообщения SMS при возникновении нужного события.

Беспроводной сигнал

И последний аспект безопасности беспроводных сетей, о котором я бы хотел упомянуть, включает сигнал, производимый точкой беспроводного доступа. Некоторые точки доступа позволяют вам настраивать мощность сигнала. Если в вашей точке доступа есть такая функция, то, возможно, будет полезно снизить мощность сигнала, чтобы он проходил только на то расстояние, на которое вам нужно. Только задумайтесь. Нужно ли вашим сотрудникам подключаться к сети, находясь на расстоянии трех кварталов? Конечно, нет.

Хотя есть решения бизнеса, которые требуют мощных беспроводных сетей, необходимо попытаться сделать так, чтобы ваш сигнал не выходил за пределы физических границ вашей организации. Это затруднит задачу подключения к вашей сети посторонним лицам, находящимся за пределами таких границ.

Заключение

Итак, пока что мы говорили о возможностях безопасности, которые интегрированы в устройства беспроводного доступа. Однако, вы, возможно, удивитесь, узнав, что ОС Windows также обладает рядом интегрированных функций безопасности беспроводных сетей. Об этом и пойдет речь в следующих частях.

Автор: Брайн Позей (Brien Posey)