Атаки на бездротову мережу можна поділити на три основні групи: на передавача, на приймача та на середовище.
Розглянемо першу групу – атаку на передавача. Можна виділити 5 різновидів такої атаки:
· атака «відмова в обслуговуванні» в адресу станції (DDoS-атака)
· повна імперсоналізація від імені легітимної станції
· приглушення базової станції
· атака підміни ARP-записів
· фальсифікація ІР-пакетів від імені легітимної станції
Атака «відмова в обслуговуванні» в адресу станції
Мета будь-якої атаки відмови в обслуговуванні полягає у створенні перешкоди при доступі користувача до мережевих ресурсів. Стандартні методи ініціювання DDoS-атаки полягають в посилці величезної кількості фіктивних пакетів, що заповнюють легальний трафік і призводять до зависання систем. DDoS-атака може проводитися як на фізичному, так і на канальному рівні.
Напад на фізичний рівень у дротовій мережі набагато простіший, ніж на фізичний рівень в бездротовій мережі, так як фізичний рівень в бездротовій мережі - це повітря, абстрактне місце навколо точки доступу. Також досить важко довести сам факт проведення DDoS атаки на фізичному рівні в бездротової мережі. Зловмисник може створити пристрій, що заповнює весь спектр на частоті 2.4 Ггц перешкодами і нелегальним трафіком - таке завдання не викликає особливих труднощів. Навіть деякі недорогі домашні радіотелефони можуть викликати перешкоди в діапазоні 2.4 Ггц, на якій працюють бездротові мережі стандарту 802.11.
На канальному рівні стека OSI, можна показати численні шляхи проведення DDoS атак, які будуть набагато менш важкі в реалізації, ніж такі ж атаки у звичайних дротяних мережах. Одним з найбільш часто використовуваних способів нападу на канальний рівень є управління рознесеними антенами.
Наприклад: є точка доступу звана АP c рознесеними антенами А (для лівої сторони) і В (для правої). Якщо користувачі 1 і 2 перебувають на різних сторонах офісу, то кожен з них за замовчуванням звертається до різних антен на точці доступу. Тут виникає проблема якщо користувач А вирішить імітувати MAC адресу користувача В. Збільшуючи силу його сигналу, щоб по крайній міру вирівняти і при цьому не перевищити силу сигналу користувача В на антені А, точка доступу більше не буде приймати або посилати дані від користувача А. Атака вдалася! [1].
Незважаючи на те, що ХХІ століття можна з упевненістю назвати ерою високих технологій, захист від DDoS атак так і залишається проблемою.
Існують заходи, завдяки яким захист від DDoS-атак може проводитися на досить високому рівні. Для початку слід правильно і точно налаштувати міжмережевий екран, після чого можна буде відстежувати підозрілий трафік, що поступає з інших машин. Також захист від DDoS забезпечується за допомогою фіксування трафіку, який проходить через мережу. Насторожувати повинна і різка мережева активність, яка може стати ознакою проведення DDoS-атаки.
Також захист від DDoS передбачає систематичну перевірку стану комп'ютерних мереж, оскільки хакери здатні в будь-який момент приєднатися до них по спеціальних каналах.
Основні методи грамотного захисту від DDoS атак
Адміністрування - захист від DDoS проводиться шляхом організації постійного спостереження за сервером, який підключається до цілодобового моніторингу. Цей захист від DDoS є хорошим для всіх користувачів, навіть для тих, хто не володіє достатньою кількістю досвіду, оскільки система сама буде виявляти атаки і підказувати, що потрібно робити в цьому випадку.
Очищення трафіку - захист від DDoS, що передбачає блокування підозрілої інформації ще до її потрапляння в мережу. Сьогодні такий захист від DDoS-атак є доступним і вигідним. У результаті відсіються будь-які підозрілі запити і додатки, включаючи спам, віруси, DDoS-атаку і т.д. Даний захист від DDoS здатний розрізняти нормальний і аномальний трафік, пропускаючи перший і блокуючи другий.
Виділений сервер - це захист від DDoS-атак, який передбачає отримання дискового простору на виділеному сервері. При цьому захист від DDoS-атак забезпечується за рахунок постійного спостереження за сервером і сайтом фахівця з data-центру. Власник дискового простору може розміщувати на ньому необхідну інформацію, на яку теж буде поширюватися захист від DDoS-атак. [11].
Повна імперсоналізація від імені легітимної станції
Імперсоналізація авторизованого користувача - серйозна загроза будь-якій мережі, не тільки бездротової. Однак в останньому випадку визначити справжність користувача складніше. Звичайно, існують SSID, і можна намагатися фільтрувати по MAC-адресами, але і те й інше передається в ефірі у відкритому вигляді, і те і інше нескладно підробити. А підробивши, як мінімум «відкусити» частину пропускної здатності мережі, вставляти неправильні фрейми з метою порушення авторизованих комунікацій. Розколовши ж хоч трохи алгоритми шифрування - влаштовувати атаки на структуру мережі (наприклад, ARP Poisoning, як у випадку з недавно виявленої вразливістю TKIP). Існує помилкове переконання, що імперсоналізація користувача можлива тільки у випадку MAC-аутентифікації або застосування статичних ключів, що схеми на основі 802.1x, такі як LEAP, є абсолютно безпечними. На жаль, це не так, і вже зараз доступний інструментарій для злому, наприклад LEAP. Інші схеми, скажімо EAP-TLS або PEAP, більш надійні, але вони не гарантують стійкості до комплексної атаці, що використовує декілька факторів одночасно. [5].
Приглушення базової станції
Приглушення базової станції надає можливість підмінити її атакуючої станцією. Атакуюча станція встановлює глушник, який подає сигнали, перекриваючи доступ до мережі. Таке глушіння позбавляє користувачів доступу до послуг.
Більшість бездротових мережевих технологій використовує неліцензовані частоти. Тому багато пристроїв, такі як радіотелефони, системи спостереження і мікрохвильові печі, можуть впливати на роботу бездротових мереж і глушити бездротове з'єднання. Щоб запобігти таким випадкам ненавмисного глушіння, перш ніж купувати дороге бездротове обладнання, треба ретельно проаналізувати місце його встановлення. Такий аналіз допоможе переконатися в тому, що інші пристрої не завадять комунікацій. [2].
Атака підміни ARP-записів
Для розуміння механізму дії атак підміни ARP-записів спершу необхідно розібрати в самому ARP. Протокол визначення адрес дозволяє Ethernet-об'єктам, що використовують TCP / IP як протокол для передачі даних, розрізняти інші, що мають IP адреси, об'єкти в мережі. Багато в чому цей протокол схожий на NetBios - він передає по радіо трафік на всі хости, в той час як конкретний пакет призначений тільки для одного хоста з цієї мережі. ARP передає запит для впізнання необхідного хоста, що має певну IP-адресу. Цей хост приймає повідомлення і підтверджує його, а комп'ютер, що породив сигнал, зберігає його МАС-адресу в кеші, і при подальшій передачі на необхідний хост не буде необхідне визначення автентичності його IP адреси.
Проблема з'являється з появою нових операційних систем, які не надто добре дотримуються основної тенденції APR-передачі. Якщо комп'ютер, керований новою версією Windows або навіть Linux, виявляє пакет, що посилає конкретної машиною в мережі, то він приймає, що МАС-адреса цього комп'ютера правильно зіставлена з IP-адресою комп'ютера, що послав цей пакет. Усі наступні передачі на цей комп'ютер будуть відбуватися з використанням діючої, але погано вивченої IP-адреси, збереженої в кеші комп'ютера для майбутніх звернень.
Але що, якщо зловмисник створить пакети з підробленою IP-адресою, в яких буде стверджуватися, що IP належить МАС-адресі його власного комп'ютера? Тоді, всі дані передаються з хостів, що використовують скорочений метод вивчення комбінацій МАС / IP адрес, будуть приходити на комп'ютер зловмисника, а не на призначених хост. Це є досить серйозною проблемою. Нападник може отримати пакети, просто замінюючи в даному локальному кеші комбінації MAC / IP адрес для будь-яких двох хостів, пов'язаних з фізичною мережею, на якій запущена точка доступу. [1].
Фальсифікація ІР-пакетів від імені легітимної станції
Фальсифікація IP-пакетів від імені легітимної станції (IP-Spoofing) полягає у використанні IP-адрес з викраденої DNS-зони, для генерації IP-пакетів, що імітують пакети від вузлів атакується мережі (насправді ж ці пакети можуть використовуватися для крадіжки інформації або взлому ресурсів);
Є декілька варіацій атак які використовують IP-Spoofing.
Non-Blind Spoofing – Обман не всліпу.
Цей тип нападу реалізується, коли нападник і жертва знаходяться в одній підмережі. Sequence і Аcknowledgement номери (поля пакета) можуть бути перехоплені, усунувши тим самим проблему їх підбору. Найбільша загроза при такому вигляді спуфінгу - це перехоплення сесії. Це досягається шляхом спотворення поточної сесії, і подальшим встановленням нової сесії з правильними Sequence і Аcknowledgement полями з атакується комп'ютером. Таким чином атакується комп'ютер приймає вас за комп'ютер з яким була встановлена сесія раніше. Використовуючи цю техніку, нападаючий може обійти авторизацію при установці з'єднання.
Blind Spoofing – Атака всліпу.
Це більш складний вид атаки, оскільки Sequence і Аcknowledgement поля нам не відомі. Для того щоб обійти це, зломщик відправляє кілька пакетів цільовій машині, з метою - підібрати ці поля. На відміну від сьогоднішніх, комп'ютери в минулому використовували прості технології для генерації Sequence чисел. Було досить легко виявити правильну формулу за допомогою дослідження пакетів і TCP сесій. Сьогодні ж, більшість операційних систем використовують рандомно генерацію Sequence чисел, що сильно утрудняє їх визначення (підбір). Але якщо все ж таки вдасться виявити Sequence числа, то можна буде обмінюватися пакетами з цільовим комп'ютером. [8; 9].
Розглянемо другу групу – атаку на приймача. Можна виділити 3 різновиди такої атаки:
· атака «відмова в обслуговуванні» в адресу точки доступу (DDoS -атака)
· повна імперсоналізація від імені точки доступу
· приглушення клієнтської станції
Атака «відмова в обслуговуванні» в адресу точки доступу та повна імперсоналізація від імені точки доступу за принципом дії співпадає з вище описаними подібними атаками в адресу легітимної станції. Різниця полягає лише в напрямку атаки.
Приглушення клієнтської станції
Приглушення клієнтської станції дає шахраю можливість підставити себе на місце заглушеного клієнта. Також глушіння може використовуватися для відмови в обслуговуванні клієнта, щоб йому не вдавалося реалізувати з'єднання. Більш витончені атаки переривають з'єднання з базовою станцією, щоб потім вона була приєднана до станції зловмисника. [2].
Розглянемо останню, найбільш обширну групу атак – атаки на середовище. Цю групу атак можемо поділити на дві основні підгрупи – заповнення ефіру та прослуховування.
Прослуховування трафіку
Більшість бездротових карток підтримують можливість роботи в режимі моніторингу. Цей режим, трохи схожий з неселективним режимом адаптерів IEEE 802.3, дає можливість зберігати трафік бездротової мережі навіть без встановлення з нею логічного зв'язку. У конкретний момент часу картка має можливість прослуховувати тільки один з каналів, однак більшість мережевих аналізаторів бездротових мереж підтримують можливість автоматизованого перемикання між каналами (channel hoping) для збору пакетів на всіх можливих каналах.
Після виявлення бездротової мережі, що цікавить його, зловмисник може сконцентрувати увагу на потрібному каналі і збирати весь трафік цієї мережі. Як і у випадку з несанкціонованим підключенням, зловмисник має можливість аналізувати пакети, перебуваючи на значній відстані від точки доступу.
Існує безліч різноманітних мережевих аналізаторів для WLAN. Як приклад можна привести програми AirMagnet Laptop, Wildpackets Aeropeak і CommView for WiFi для операційної системи Windows і Ethereal, Kismet для Linux.
Для роботи мережевого аналізатора необхідно встановити в систему спеціальні драйвери мережевої карти, що підтримують роботу в режимі моніторингу (HostAP, AirJack, Madwifi, IPW2200 для Linux). Драйвери для Windows, як правило, входять у поставку мережевого аналізатора. [4].
Прослуховування поділяється на активне і пасивне.
Атака "Людина посередині" (man-in-the middle attacks)
Також як і DDos атака, атака "людина посередині" виконуються на бездротових мережах набагато простіше, ніж на дротових, тому що у разі провідної мережі до неї потрібно якої-небудь вид доступу. Зазвичай атаки "людина посередині" мають два різновиди: підслуховування і маніпуляція.
При прослуховуванні, зловмисник просто прослуховує набір передач між різними хостами, при цьому комп'ютер зловмисника не повинен бути однією зі сторін в з'єднанні. Атаки маніпуляції використовують можливість прослуховування і нелегального захоплення потоку даних з метою зміни його вмісту, необхідного для задоволення деяких цілей зловмисника, наприклад для спуфінга IP адрес, зміни МАС адреси для імітування іншого хоста і т.д.
Для запобігання атак прослуховування, необхідно провести шифрування даних на різних рівнях, бажано використовуючи SSH, SSL, або IPSEC. В іншому випадку великі обсяги переданої конфіденційної інформації будуть потрапляти до зловмисників для подальшого аналізу. [1].
При прослуховуванні, зловмисник просто прослуховує набір передач між різними хостами, при цьому комп'ютер зловмисника не повинен бути однією зі сторін в з'єднанні. Атаки маніпуляції використовують можливість прослуховування і нелегального захоплення потоку даних з метою зміни його вмісту, необхідного для задоволення деяких цілей зловмисника, наприклад для спуфінга IP адрес, зміни МАС адреси для імітування іншого хоста і т.д.
Для запобігання атак прослуховування, необхідно провести шифрування даних на різних рівнях, бажано використовуючи SSH, SSL, або IPSEC. В іншому випадку великі обсяги переданої конфіденційної інформації будуть потрапляти до зловмисників для подальшого аналізу. [1].
Взлом WEP-ключів
Однією з найбільш відомих уразливостей в бездротових мережах в WEP є схема аутентифікації. Використання WEP означає, що ваша бездротова мережа перебуває в одному кроці від повністю відкритою радіо мережі, причому цей крок дуже незначний.
Використання WEP означає кодування кожного пакета за допомогою потокового шифру RC4, декодуємого при досягненні точки доступу. Для кодування WEP використовує секретний ключ (WEP ключ) і об'єднується з 24-розрядної частиною даних, що називається вектором ініціалізації (initialization vector IV). Використання IV з WEP ключем збільшує життєздатність WEP ключа, так як значення IV можна змінювати після кожної передачі, а зміна значення WEP ключа в технічному плані набагато важча. WEP використовує початкове число з генератором випадкових чисел створює ключовою потік. У одержувача точка доступу повторно обчислює використовувані біти і порівнює їх з отриманими даними, щоб переконатися в збереженні цілісності даних.
Використання WEP є проблематичним в плані забезпечення захисту і вас заспокоює лише знання факту, що WEP ключі є статистичними. Так як WEP використовує 24 біта для обчислення IV, то в кінцевому рахунку при використання мережі з великим трафіком значення IV будуть повторюватися. Відповідно ключові потоки будуть однакові і все що необхідно буде зробити зловмисникові - це зібрати на протязі певного періоду пакети даних і запустити спеціальну програму WEPcrack, створену спеціально для злому WEP ключів. [10].
В 2004 р. з'явилися так звані KoreK-атаки, що дозволяють атакуючому отримати ключ після перехоплення набагато меншого обсягу даних, ніж в оригінальному варіанті. Крім того, управляти статичним розподілом ключів у випадку великої кількості клієнтів практично неможливо.
Оскільки WEP не забезпечує адекватного рівня безпеки, для захисту бездротових мереж досить широко використовуються засоби побудови віртуальних приватних мереж. У цьому випадку канальний рівень OSI визнається небезпечним, а вся бездротова мережа прирівнюється до мережі Інтернет, доступ з якої в корпоративну мережу можливий тільки по каналу, захищеному засобами VPN на основі PPTP, IPSec в тунельному режимі або L2TP + IPSec. Проте використання VPN накладає ряд обмежень на використання бездротових мереж. Зникає прозорість, для роботи з мережею потрібно активізувати бездротове підключення. І так досить невелика пропускна здатність бездротового каналу додатково утилізується за рахунок службового трафіку протоколу організації віртуальної приватної мережі. Можуть виникати розриви VPN з'єднання при інтенсивному перемиканні між точками доступу.
Сучасна підсистема безпеки сімейства стандартів 802.11 представлена двома специфікаціями: WPA і 802.11Х. Перша з них, як і WEP, задіє для захисту трафіку алгоритм RC4, але з динамічною генерацією ключів шифрування. Пристрої, що підтримують 802.11Х, як алгоритм шифрування використовують AES. Обидва протоколу, і 802.11Х, і WPA для аутентифікації пристроїв можуть застосовувати як статично розподілюваний ключ, так і технологію 802.1X.
Технологія 802.1X служить для аутентифікації клієнта перед отриманням доступу до канального рівня технології Ethernet навіть при наявності фізичного підключення. Для аутентифікації використовується протокол EAP і його варіанти (PEAP, EAP-TTLS, LEAP). В якості сервера аутентифікації може виступати сервер, який реалізує необхідні розширення протоколу RADIUS. Великим плюсом 802.1X є той факт, що вона може використовуватися як в провідний, так і бездротової мережі. Дуже часто в рекомендаціях щодо забезпечення безпеки бездротових мереж фігурує вимога до відключення широкомовного розсилання ідентифікатора мережі (SSID broadcast, guest mode і т.д.). У цьому випадку точка доступу припиняє розсилати широкомовні пакети beacon з ідентифікатором мережі та іншою службовою інформацією, що полегшує клієнтові налаштування.
Це може ускладнити виявлення бездротової мережі зловмисником, що володіє невисокою кваліфіцікацією, але так само і ускладнити налаштування клієнтських пристроїв (особливо, якщо точка доступу працює на граничних каналах).
Ще один часто використовуваний механізм доступу - авторизація по MAC-адресам - має сенс використовувати тільки як додатковий механізм захисту, але не як основний, оскільки він досить легко обходиться зловмисниками. [4].
"Стрибаюча" атака. (затискальна) (jamming attacks)
Стиснення - є спеціальним видом DoS в бездротових мережах. Стиснення відбувається, коли випадкові радіочастоти створюють перешкоди у функціонуванні бездротової мережі. У деяких випадках це не зловмисно відбувається, а викликається присутністю інших пристроїв, як наприклад бездротові телефони, що дійсно можуть бути на тій же частоті, що і мережа. Навмисно і зловмисно стиск відбувається, коли нападник аналізує спектр, використовуваний бездротовими мережами і потім передає потужний сигнал, щоб створити перешкоди зі зв'язком на виявлених частотах. На щастя, цей тип атаки не дуже поширений через витрату отримання апаратних засобів, здатного запустити стислу атаку. Плюс, стиснення мережі, звичайно являє собою короткочасну атаку, спрямовану на те, щоб вивести з ладу зв'язок на деякий час. [3].
Захист від «затискальної» атаки такий же, як і захист від атак «відмова в обслуговуванні».
Заповнення ефіру
Заповнення ефіру відбувається завдяки використанню навмисних електромагнітних завад.
Електромагнітною завадою (ЕМЗ) називають небажаний вплив електромагнітної енергії, що погіршує якість функціонування інформаційної системи. Електромагнітні завади різноманітні по походженню, структурі, природі.
Радіотехнічні, електротехнічні й електронні засоби, що створюють у процесі роботи електромагнітні завади, називають джерелами завад(ДЗ) або, скорочено, рецепторами.
Відносно класифікації ДЗ, ЕМЗ можна розділити на стаціонарні, індустріальні, природні і контактні.
Індустріальні ЕМЗ створюється електротехнічним, електронним або радіоелектронним пристроєм (крім випромінювання передавача через високочастотний тракт). Як правило, індустріальна завада має імпульсний характер, особливості якого залежать від типу конкретного пристрою. Вид одиночного імпульсу має «комутаційна завада», що виникає при розмиканні і замиканні ланцюгів електроживлення, що призводить до нестаціонарних процесів у цих ланцюгах.
Контактна ЕМЗ створюється в результаті впливу електромагнітного поля радіопередавача на механічний контакт, що проводить струм, і з перемінним опором, що перевипромінює електромагнітне поле.
По прояву завади в часі ЕМЗ бувають:
· безупинна - рівень не зменшується нижче визначеного граничного рівня за час більший 1с.
· нетривала – час дії менше 1с.
· короткочасна – час дії менше 0.2с.
· регулярна – виявляється і зникає через майже однакові проміжки часу
· нерегулярна – поява і зникнення відбувається через різноманітні проміжки часу
· випадкова стаціонарна – поточний процес має випадкову природу, відбувається без істотних змін математичного очікування перешкоди в часі
· випадкова нестаціонарна - поточний процес має випадкову природу, протікає з істотними змінами математичного очікування перешкоди в часі
По відношенню завади до ДЗ ЕМЗ бувають:
· вузькосмужна – ширина спектра менше або дорівнює ширині смуги пропускання ДЗ
· широкосмужна - ширина спектра більша ширини смуги пропускання ДЗ
· зовнішня – джерело знаходиться поза ДЗ
· внутрішня - джерело знаходиться усередині ДЗ
· міжсистемна – джерело знаходиться в системі, що не відноситься до системи, що включає ДЗ
· внутрісистемна - джерело знаходиться усередині аналізованої системи, але поза ДЗ
· мультиплікаційна – дія на ДЗ змінює комплексну структуру корисного сигналу за рахунок накладення її на комплексну огинаючу деякого випадкового процесу
· симетрична – дія на ДЗ виявляється між двома затискачами джерела індустріальних завад або між фазовими проводами мережі живлення ДЗ
· несиметрична - дія на ДЗ виявляється між затискачем джерела індустріальних завад і землі. [7].
Висновки
Поширеність бездротових технологій у наш час ставить під загрозу і ті мережі, де вони вже застосовуються, і ті, де ніколи не повинні використовуватися. Традиційні засоби захисту безсилі проти принципово нових класів бездротових загроз. При цьому ситуація ускладнюється тим, що необхідно захищати також і своїх користувачів (які можуть знаходитися і далеко від офісу), не порушуючи при цьому функціонування мереж сусідів, яким би підозрілим воно не виглядало.
Бездротові мережі можна умовно розділити на домашні (SOHO), загальнодоступні і корпоративні. У кожному з цих випадків мають сенс різні підходи до забезпечення безпеки мережі, оскільки моделі загроз розрізняються для кожного з типів мереж.
У SOHO мережах застосовуються як технології побудови VPN (наприклад, PPTP, сервер якого вбудований в багато бездротові маршрутизатори, або IPSec-PSK), так і WPA-PSK (тобто з аутентифікацією на загальних ключах). Однак при виборі в якості протоколу захисту WPA-PSK слід пам'ятати, що будь-який протокол аутентифікації, заснований на паролі, уразливий для атак відновлення парольної фрази по перехопленої сесії. Відповідно, для захисту бездротової мережі слід вибирати достатньої стійкий до підбору пароль (згідно з багатьма рекомендаціями, що складається як мінімум з 20 символів).
Для кращої безпеки потрібно дотримуватися основних правил при організації і налаштуванні бездротової мережі:
· в наш час максимальний рівень безпеки забезпечує застосування VPN;
· якщо є можливість використовувати 802.1X (наприклад, точка доступу підтримує, є RADIUS-сервер) - скористайтеся ним (втім, уразливості є і у 802.1X);
· перед покупкою мережевих пристроїв уважно ознайомтеся з документацією. Дізнайтеся, які протоколи або технології шифрування ними підтримуються. Перевірте, чи підтримує ці технології шифрування ваша ОС. Якщо ні, то скачайте апдейти на сайті розробника. Якщо ряд технологій не підтримується з боку ОС, то це має підтримуватися на рівні драйверів;
· зверніть увагу на пристрої, що використовують WPA2 і 802.11i, оскільки в цьому стандарті для забезпечення безпеки використовується новий Advanced Encryption Standard (AES);
· завжди використовуйте максимально довгі ключі. 128-біт - це мінімум (але якщо в мережі є карти 40/64 біт, то в цьому випадку з ними ви не зможете з'єднатися). Ніколи не прописуйте в настройках прості, «дефолтні» або очевидні ключі і паролі (день народження, 12345), періодично їх міняйте;
· якщо в налаштуваннях пристрою пропонується вибір між методами WEP-аутентифікації "Shared Key" і "Open System", вибирайте "Shared Key". Якщо AP не підтримує фільтрацію по MAC-адресами, то для входу в "Open System" достатньо знати SSID, у випадку ж "Shared Key" клієнт повинен знати WEP-ключ. Втім, у випадку "Shared Key" можливе перехоплення ключа, і при цьому ключ доступу однаковий для всіх клієнтів. У зв'язку з цим багато джерел рекомендують "Open System";
· по можливості не використовуйте в бездротових мережах протокол TCP / IP для організації папок, файлів і принтерів загального доступу. Організація поділюваних ресурсів засобами NetBEUI в даному випадку безпечніше;
· по можливості не використовуйте в бездротової мережі DHCP - вручну розподілити статичні IP-адреси між легітимними клієнтами безпечніше;
· на всіх ПК всередині бездротової мережі установіть firewall, намагайтеся не встановлювати точку доступу поза брандмауера, використовуйте мінімум протоколів всередині WLAN (наприклад, тільки HTTP і SMTP). Справа в тому, що в корпоративних мережах firewall стоїть зазвичай один - на виході в інтернет, зломщик ж, що отримав доступ через Wi-Fi, може потрапити в LAN, минаючи корпоративний firewall;
· регулярно досліджуйте уразливості своєї мережі за допомогою спеціалізованих сканерів безпеки (в тому числі хакерських типу NetStumbler), оновлюйте прошивки і драйверів пристроїв, встановлюйте латочки для Windows.
Нарешті, просто не відправляйте особливо секретні дані через Wi-Fi. А ще можна використовувати точки доступу-приманки (AP honeypot), спеціальне обладнання, SSL і SSH.
Комментариев нет:
Отправить комментарий