WLAN сигурността – крепост във Вашия офис

by Oct 19, 2017Новини и събития0 comments

To read the article in English, click here.

Независимо дали ползвате частна или бизнес мрежа, нуждата от сигурност е от първостепенно значение. Традиционните мрежи, използващи кабели осигуряват защита от атаки. Това е най-вече защото без физически достъп до кабелите, които се намират из сградите, външни хора не могат лесно да прихванат или прочетат данни.

Ако искате да използвате по-практична безжична мрежа, се излагате и на риска да се сблъскате със проблеми със сигурността. Празното пространство се използва за трансфер на данни, не кабели и обхватът не се измерва с дължината на кабела, а със силата на радиосигнала. Ако устройство в безжичната локална мрежа, по-добре позната като WLAN,  изпраща данни, за прихващането на данните от външен източник е необходим само приемник, който се намира в обхвата на радиосигнала. За да използвате безжичната комуникация по сигурен начин, трябва да вземете някои мерки.

Какво всъщност е WLAN?

WLAN (Wireless Local Area Network ) е безжична локална мрежа и обикновено се ползва, когато устройството не може да бъде свързано към мрежата или е трудно за интегриране в нея. Безжичните мрежи съществуват и поради удобство. Те са често използвани сред частните мрежи, тъй като благодарение на тях е възможно интернет разпространението в цели квартали и райони, без необходимостта от кабели. Радио мрежите са също толкова полезни и в офисите, особено ако в него се използват ммножество таблети, лаптопи и смартфони.

Има различни начини за опериране с безжични мрежи:

  • Инфраструктурен: структурата му е подобна на мобилните мрежи. Безжична точка за достъп (Access point) се грижи за координацията между всички използващи мрежата, пращайки им малки пакети данни в определен интервал с информация за името на мрежата , скоростите на предаване или типа кодиране. Точката за достъп най-често е рутер.
  • Система за безжична дистрибуция: откакто WLAN мрежата използва същия начин за адресиране, както и Ethernet, можете лесно да се включите и в кабелни мрежи (или други безжични мрежи), чрез точката за свързване. По този начин мрежите се свързват помежду си и обхватът е увеличен.
  • Ad-hoc: в ad-hoc мрежите централният контрол не съществува, а координацията се разпределя между участниците. Този тип мрежи се използва за бърза комуникация между индивидуални участници. Но тази безжична мрежа не се ползва толкова често. Bluetooth трансфера е по-често срещан в тези случаи.

Недостатъци на безжичните мрежи

Началото на безжичния трансфер на данни, чрез радио мрежи е определен със сертификат IEEE 802.11. В началото не се е наблягало толкова на сигурността: некодирани трансфери и липса на система за спиране на достъпа на външни потребители (всеки в района на обхват е можел да достъпи до мрежата). В крайна смтка с течение на времето безжичната сигурност се развива в следните методи за кодиране и разпознаване на потребителите:

  • Wired Equivalent Privacy (WEP): WEP е най-стратият стандарт за криптиране на WLAN – от 1997г. Предлага 2 системи за достоверност – Open System Authentication – за всички клинети и Shared Key Authentication (чрез парола). В момента този стандарт се счита за остарял и несигурен.
  • WLAN Protected Access (WPA): WPA е изграден въху архитектурата на WEP и е създаден, за да заличи слабостите му. WPA работи с динамичен ключ базиран на Temporal Key Integrity Protocol (TKIP). Тъй като и тази система вече не е сигурна, новите точки за достъп (от 2012г насам) и всички устройства, на които може да се ползва безжична връзка (2012 насам) вече не поддържат този протокол.
  • WLAN Protected Access 2 (WPA2): сегашният и до момента най-безопасен протокол е пуснат в експлоатация през 2004г със сертификат IEEE 802.11i. Вместо TKIP, WPA2 използва много по-модерния метод за криптиране
  • WLAN Protected Setup (WPS): този стандарт не е техника за предаване или криптиране но е функция за автоматично настройване, което улеснява новите потрребители на WLAN. Осъществява се с натискането на физически бутон (WPS PBC) на точката за достъп или виртуално – със софтуерен бутон, или с въвеждането на ПИН код. Можете да промените зададените настройки с USB Stick или чрез NFC.

Въпреки че WEP и WPA имат по-сигурен наследник в лицето на WPA2, някои оператори все още използват остарелите протоколи за криптиране, стига все още да се поддържат от техните точки за достъп. Мрежи с такива протоколи са изложени на голям риск, заради възможния неоторизиран достъп на всеки външен човек. Още грешки, които правят лесен достъпа на атакуващите до данните, включват:

  • Стандартни потребителски имена и пароли за безжичните точки за достъп;
  • Неосигурени основни настройки за безжични точки за достъп;
  • Некоректно интегриране на WPA2 и WPS.

Освен това безжичните мрежи са уязвими на обикновени DoS или DDoS атаки, както и на тъй нар. evil twin (зъл близнак, бел. ред.) атаки. При последния вид атака, хакерите поставят фалшиви безжични точки за достъп със специални настройки. Потребителите на мрежата ги приемат за истински и се свързват с тях. „Злият близнак“ отговаря със запитване за достъп, който му бива даден от нищо неподозиращата оригинална точка за достъп. Също така завзема MAC адреса на клиента и отклонява всички необходими данни, за да установи връзка. Публично достъпните безжични точки за достъп са най-уязвими към подобен вид атаки.

По-сигурна мрежа – въпрос на постоянство

Всички слабости, описани по-горе показват важността от запознаването с различните варианти за безжична сигурност. Ако мислите, че ще постигнете сигурност със защитна стена и парола,бързо ще бъдете разубедени от последвалата атака. Сигурната безжична връзка не се изчерпва с включването на рутер, настройването му за 5 минути и поставянето на парола, която да не е лесна за разгадаване, но и не много трудна за запомняне.

Колкото по-внимателни сте с настройките и управлението, толкова по-сигурна ще бъде мрежата ви по-нататък.

Основата на безжичната сигурност – да настроите точките за достъп правилно

Безжичните точки за достъп – най-често рутери, са централните контролни единици и са отговорни за собствената си сигурност. Настройките, които правите, ще определят в бъдеще дали хакер може да си осигури достъп до мрежата Ви само за няколко секунди, или това ще остане просто неуспешен опит. Ето ги най-важните стъпки за конфигуриране:

Стъпка 1: създайте индивидуален администраторски достъп

За да бъде настроена една точка за достъп, на заден план трябва да работи фърмуер, който осигурява потребителски интерфейс в масовите интернет браузъри, когато въведете IP адреса на устройството. Достъпът до този интерфейс се постига чрез администраторски акаунт с потребителско име и парола. Понеже името и паролата са едни и същи за всички, тъй като от устройството са произведени хиляди бройки, те най-често са нещо като потребителско име: „admin” и парола: „1234“. Променете потребителското име и паролата на точката за достъп още в началото на настройката му. Можете да я запишете и да я държите на сигурно място, но не я оставяйте в компютъра си, ако нямате място за съхранение, защитено с парола.

Стъпка 2: изберете метод за криптиране WPA2

За да криптирате своята безжична мрежа, задължително трябва да изберете WPA2. В противен случай рискувате пробив.

Стъпка 3: създайте сигурна парола на мрежата

Засега, единственият метод за атакуване на WPA2 безжична мрежа, е през паролата. Важността на сложната парола не трябва да бъде подценявана. Най-добре е паролата Ви да съдържа големи и малки букви, както и числа, и специални символи. Избягвайте истински думи.

Стъпка 4: направете неразпознаваемо име на мрежата

WLAN мерките за сигурност (които са и за Ваша лична сигурност) са да формулирате да формулира идентификатор на набор от услуги, които не могат да бъдат проследени (SSID – service set identifier). Той показва името на Вашата мрежа  и тя е достъпна за всички в обхвата й. Ако не управлявате публична точка, е добре да избягвате лични детайли, които могат да насочат нежелани лица към Вас, Вашата компания или местоположението Ви. Мнозина смятат, че е най-сигурно да скрият изцяло името на своят мрежа (скрит SSID), но тя не отблъсква хакерите, пък е и по-сложна за настройване от масовия потребител.

Стъпка 5: включете автоматичните ъпдейти на фърмуера

Някои точки за достъп имат функция за автоматични обновявания, която можете да активирате. Ако при Вас няма такава функция, е добре редовно да проверявате за ъпдейти за Вашето устройство, които да свалите и инсталирате ръчно.

Оптимизирайте достъпа с IEEE 802.1X

IEEE 802.1X е порт-базиран метод за сигурност, който дава достъп само на клиенти, предварително допуснати от мрежата, чрез специален сървър (RADIUS). Това е предварително направен списък, който дава информация на точката за достъп дали искащия да се свърже трябва да бъде допуснат. Методът е базиран върху Extensible Authentication Protocol (EAP), който поддържа и WPA2, WPA2 Enterprise, WPA2-1X, и WPA2/802.1X.

Изпълнявайки тези стъпки, ще е епо-трудно на хакерите да получат достъп до Вашата безжична мрежа.

А ако искате цялостно WLAN решение, можете да погледнете и нашите продукти тук.

Share This

Share This

Share this post with your friends!