Wi-Fi е една точка за достъп, която хакерите могат да използват, за да влязат във вашата мрежа, без да стъпват в сградата, защото безжичната мрежа е много по-отворена за проследяване, отколкото кабелните мрежи, което означава, че трябва да сте по-внимателни по отношение на сигурността.
Но има много повече възможности за защита на Wi-Fi, отколкото просто да зададете парола за достъп. От Network World споделят 5 начина за защита на Wi-Fi мрежи. Ето кои са те:
1. Използване на незабележимо име на мрежа (SSID)
Service set identifier (SSID) е една от най-основните настройки на Wi-Fi мрежата. Може да ви се струва, че името на мрежата няма как да компрометира сигурността, но то със сигурност може. Използването на твърде често използвани имена за SSID, като „wireless“ или името по подразбиране дадено от доставчика, може да улесни някой да кракне персоналния режим на WPA или WPA2 сигурност. Това е така, защото алгоритъмът на шифроване включва SSID, а речниците за крекинг на паролите, използвани от хакерите, са предварително заредени с общи и стандартни SSID. Използването на едно от тези неща прави работата на хакера по-лесна.
Възможно е да изключите излъчването на SSID, което по същество прави името на вашата мрежа невидимо, но много специалисти не го препоръчват, защото обикновено отрицателните ефекти надвишават ползата за сигурността. А и все още, някой с подходящите умения и инструменти може да намери вашето SSID.
2. Не забравяйте физическата сигурност
Повечето точки за достъп (AP) имат бутон за нулиране, който някой може да натисне, за да възстанови фабричните настройки по подразбиране, като премахне Wi-Fi защитата и позволи на всеки да се свърже. По този начин AP, разпределени във вашето жилище, трябва да бъдат физически обезпечени, за да ограничите физически достъпа до AP бутоните и портовете.
Друга опасност е, когато някой добави към мрежата неупълномощено AP, което обикновено се нарича „Rogue AP“. Това може да се направи по легитимни причини, например от служител на фирмата ви, който иска да увеличи Wi-Fi покритието.
За да предотвратите появата на нежелани точки за достъп, уверете се, че всички неизползвани Ethernet портове са деактивирани. Или ако наистина искате да укрепите сигурността, активирайте 802.1X удостоверяване, ако вашия рутер го поддържа, така всяко устройство, включено в Ethernet портовете, трябва да влиза в регистрационните данни, за да получи достъп до мрежата.
3. Използвайте Enterprise WPA2 с 802.1X удостоверяване
Един от най-изгодните механизми за Wi-Fi защита, който можете да въведете, е внедряването на корпоративния режим за Wi-Fi сигурност, тъй като удостоверява всеки потребител поотделно: всеки може да има собствено потребителско име и парола за Wi-Fi. Ако загубите или откраднат лаптоп или мобилно устройство или служител напусне компанията, трябва само да промените или да отмените влизането на конкретния потребител.
Друго голямо предимство на корпоративния режим е, че всеки потребител има свой собствен ключ за кодиране. Това означава, че потребителите могат само да декриптират трафика на данни за собствената си връзка – без да гледат безжичния трафик на никой друг.
За да включите AP в режим „Enterprise“, първо трябва да настроите RADIUS сървър. Въпреки че можете да внедрите самостоятелен RADIUS сървър, първо трябва да проверите дали другите ви сървъри (като Windows Server) вече не предоставят тази функция. Също така имайте предвид, че някои безжични точки за достъп или контролери имат вграден RADIUS сървър, но техните граници на производителност и ограничена функционалност обикновено ги правят полезни само за по-малки мрежи.
4. Защитете параметрите за автентификация 802.1X на клиентските устройства
Подобно на други технологии за сигурност, бизнес режимът на Wi-Fi сигурността все още има някои уязвимости. Една от тях е атаката известна като „човек в средата“ – хакер, който седи на летище или кафе, или дори навън на паркинга на корпоративен офис. Някой може да създаде фалшива Wi-Fi мрежа със същия или подобен SSID като мрежата, която се опитват да имитират.
Когато вашият лаптоп или устройство се опитва да се свърже, фалшив RADIUS сървър може да улови вашите идентификационни данни за вход. Крадецът може да използва тези данни за вход, за да се свърже с истинската Wi-Fi мрежа.
Един от начините за предотвратяване на атаки чрез 802.1X удостоверяване е да се използва сървърната проверка от страна на клиента. Когато удостоверяването на сървъра е активирано на безжичния клиент, клиентът няма да предаде вашите идентификационни данни за влизане в Wi-Fi на RADIUS сървъра, докато не потвърди, че комуникира с легитимен сървър. Точните възможности за удостоверяване на сървъра и изискванията, които можете да наложите на клиентите, ще варират в зависимост от устройството или операционната система на клиента.
5. Използвайте Rogue-AP детектор
Има много сценарии за уязвими точки за достъп, като всеки от тях може да остане незабелязан от IT персонала за дълъг период от време, ако не бъде въведена подходяща защита. По този начин, добра идея е да активирате софтуера за „откриване на измамници“, предлаган от AP доставчика ви. Точният метод и функционалност за откриване при различните инструменти се различават, но повечето периодично сканират и ще ви изпратят предупреждение, ако бъде открит нов AP в обхвата на разрешените AP.
За още повече възможности, някои AP доставчици предлагат напълно развита система Wireless Intrusion Detection System (WIDS) или Intrusion Protection System (WIPS), която може да усеща редица безжични атаки и подозрителна дейност, заедно с нелоялните AP.
Ако вашият AP доставчик не предоставя вградени възможности за разпознаване на AP или WIPS възможности, обмислете решение на трета страна.
Вижте 6 лесни начина да предпазим домашната си Wi-Fi мрежа от хакери
Discussion about this post