Wi-Fi. Беспроводная сеть
Шрифт:
— смените IP-адрес и пароль вашей точки доступа. Принятые по умолчанию пароли для большинства инструментов конфигурирования точек доступа найти легко (и они часто повторяются от одного производителя к другому — совет: не используйте «admin»), поэтому они недостаточно хороши даже для защиты от ваших собственных пользователей, не говоря уже о посторонних недоброжелателях, намеревающихся использовать вашу сеть в своих собственных целях;
— отключите функцию «широковещательный SSID» для точки доступа, которая допускает реализацию подключений от клиентов без наличия правильного SSID. Это не дает гарантии, что ваша сеть
— включите функцию управления доступом для своей точки доступа. Управление доступом ограничивает подключения к сетевым клиентам с заданными МАС-адресами. Точка доступа будет отказывать в соединении любому адаптеру, чей адрес не присутствует в списке. Это может быть непрактично, если вы хотите разрешить другим посетителям пользоваться вашей сетью, но это полезный инструмент для домашней и малой офисной сети, где вы знаете всех своих потенциальных пользователей. Аналогично функции «широковещательный SSID» это не дает гарантии, но и не повредит;
— протестируйте защиту своей сети, попробовав найти ее с улицы. Возьмите портативный компьютер с запущенной программой сканирования, такой как Network Stumbler или утилита отображения состояния вашего сетевого адаптера, и начинайте отходить от здания. Если вы можете обнаружить свою сеть на расстоянии квартала, это же сможет и посторонний. Помните, что недоброжелатели могут использовать направленные антенны с высоким коэффициентом усиления, которые это расстояние увеличивают;
— воспринимайте сеть как широко открытую для коллективного доступа. Удостоверьтесь, что все использующие сеть сознают, что они используют небезопасную систем;
— распространяйте файловый доступ только на файлы, которые действительно хотите сделать доступными. Не открывайте весь диск. Используйте защиту паролем для каждого доступного элемента;
— используйте тс же инструменты защиты, которые использовали бы в проводной сети. В лучшем случае беспроводная часть вашей локальной сети является не более защищенной, чем проводная часть, поэтому вы должны соблюдать все те же предосторожности. В большинстве случаев беспроводная часть сети является гораздо менее защищенной, чем проводная;
— рассмотрите использование виртуальной частной сети (VPN) для дополнительной защиты.
Некоторые специалисты используют другой метод защиты беспроводной сети. Они принимают идею о том, что сеть 802.11b является незащищенной, поэтому даже не пытаются использовать встроенные функции защиты. Например, группа сетевой защиты Advanced Supercomputing Division NASA в Калифорнии установила, что «сеть сама по себе не обеспечивает надежной аутентификации и защиты от взлома» и что «функции защиты 802.11b лишь потребляют ресурсы, не обеспечивая взамен никакой реальной защиты». Поэтому она отключила все функции защиты 802.11b и использует вместо этого свой собственный файерволл беспроводной сети — Wireless Firewall Gateway (WFG). WFG представляет собой маршрутизатор, расположенный между беспроводной и остальной частью сети, поэтому весь входящий и исходящий сетевой трафик с беспроводных устройств (включая доступ в Интернет) должен проходить через шлюз.
Как дополнительное преимущество такой метод защиты сводит администраторскую долю в каждом пакете к минимуму, так как они не содержат аутентификации или шифрования. Это уменьшает количество битов в каждом пакете, что увеличивает эффективную скорость передачи данных по сети.
Другие операторы беспроводной сети используют VPN для управления доступом через свои беспроводные шлюзы. VPN добавляет другой уровень защиты от точки к точке к IP-слою (вместо физического уровня, где в 802.11b происходит шифрование) перед тем, как пользователь сможет работать в сети.
Сетевая защита необходима в двух случаях — сетевой администратор не хочет допустить проникновения в свою сеть неавторизованных пользователей, а индивидуальные пользователи не хотят, чтобы кто-то получил доступ к их личным файлам. Когда вы регистрируетесь в коллективной сети, необходимо принять некоторые меры предосторожности против чтения ваших файлов по сети.
Чтобы отключить File Sharing (Доступ к файлам) перед подключением к коллективной сети, используйте следующую процедуру в Windows 95, Windows 98 и Windows ME:
1. В Control Panel (Панель управления) откройте диалоговое окно Network (Сеть).
2. Выберите File and Printer Sharing (Доступ к файлам и принтерам).
3. В диалоговом окне File and Printer Sharing отключите функцию I Want to Give Others Access to My Files (Открыть доступ остальным к моим файлам).
В Windows 2000 и Windows ХР отсутствует центральное место для отключения доступа к файлам, поэтому вы должны отключать каждый доступ отдельно. [3]
3
Для централизованного управления доступом к файлам в Windows ХР и Windows 2000 откройте правой кнопкой мыши контекстное меню My Computer и выберите Manage. В правой панели выберите закладку Shared Folders, затем Shares. — Прим. науч. ред.
1. Откройте окно My Computer (Мой компьютер).
2. Иконки для всех ваших доступных дисков и папок снабжены изображением руки. Для отключения доступа щелкните правой клавишей мыши по иконке и выберите Sharing and Security (Доступ и безопасность) в меню.
3. Отключите функцию Share This Folder on the Network (Открыть доступ к этой папке по сети).
4. Щелкните по кнопке ОК (Да), чтобы закрыть диалоговое окно.
5. Повторите процесс для каждой доступной папки или файла. Не забудьте о папке Shared Documents (Общие документы).
Возвращаясь в офисную или домашнюю сеть, вы должны выполнить процедуру в обратном порядке для возобновления доступа к файлам.
Другая проблема заключается в опасности отслеживания шпионом данных, пересылаемых по радиосвязи, и похищения конфиденциальной информации на лету. Это не настолько широко распространено, как получение доступа к сети и чтение файлов шпионом, но возможно. Шифрование и другие инструменты защиты могут усложнить декодирование данных, но лучше поступать с сетью Wi-Fi, как с сотовым телефоном: никогда не посылайте сообщение или файл с конфиденциальной информацией.