Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 18:

Безопасность беспроводных соединений

< Лекция 17 || Лекция 18: 1234567

Безопасность точки доступа

В самом начале реализации проекта необходимо настроить безопасность точки беспроводного доступа. В идеальном случае точка доступа позволяет указать ключ WEP. Убедитесь, что этот ключ нельзя легко угадать. Хотя такой шаг и не предотвратит взлом ключа, он сделает процесс несанкционированного определения ключа несколько сложнее. Если возможно, используйте MAC-адреса для ограничения набора рабочих станций, которым разрешено подключение. Это усложнит задачу управления проектом, однако данный подход помогает ограничить обнаружение рабочих станций точкой доступа. Убедитесь, если возможно, что точка доступа не осуществляет распространение SSID.

Большая часть точек доступа, доступных на рынке, снабжены некоторым интерфейсом управления. Это может быть веб-интерфейс или интерфейс SNMP. По возможности используйте HTTPS для управления точкой доступа и предотвращайте доступ злоумышленника посредством использования высоконадежных паролей.

Последнее, что необходимо принимать в расчет при рассмотрении точек доступа, - их расположение. Помните, что беспроводные сигналы могут распространяться на значительные расстояния. Сигналы могут элементарно доходить до других этажей здания, автомобильной парковки или вовсе за пределы территории предприятия. Попытайтесь разместить точки доступа так, чтобы их диапазон действия как можно меньше выходил за пределы помещения или здания, занимаемого компанией.

Примечание

В организациях редко удается полностью ограничить распространение сигнала таким образом. Однако следует помнить, что данный подход подразумевает максимально возможное ограничение радиуса действия. Если возможно предотвратить доступ постороннего человека во внутреннюю сеть с обычным адаптером беспроводной сети, проходящего по улице за пределами предприятия, то необходимо принять соответствующие меры.

Безопасность передачи данных

Даже несмотря на серьезные уязвимости, присутствующие в WEP, необходимо использовать этот протокол. Причина в том, что у лица, непреднамеренно осуществившего попытку доступа (например, клиент интернет-кафе), не будет возможности получить доступ к сети из-за допущенной случайности. Защита WEP может быть преодолена, однако для этого потребуется много усилий, и нет никаких причин для того, чтобы позволять злоумышленнику действовать совершенно свободно.

Принимая во внимание, что WEP недостаточно защищает важную информацию, рекомендуется использовать иной тип системы шифрования, помимо WLAN. Действительно, если рассматривать беспроводную сеть как наполовину доверенный или не доверенный сегмент сети, становится очевидным, что здесь нужно применить тот же тип защиты, который используется удаленными сотрудниками для получения доступа к внутренним системам. Следует применять VPN при соединении рабочих станций WLAN с внутренней сетью. Большая часть VPN-продуктов предусматривает надежные алгоритмы шифрования, в которых отсутствуют недостатки, присущие WEP.

Совет

Размещайте WLAN в зоне, защищаемой межсетевым экраном или другим устройством контроля доступа, и используйте VPN при соединении с этой системой.

Безопасность рабочей станции

Существует возможность напрямую атаковать рабочие станции в сети WLAN. Если злоумышленник хочет проникнуть в сеть WLAN, то будет использовать снифферы для обнаружения других рабочих станций. Даже если не получится проникнуть во внутренние системы или прослушать информацию, передаваемую в сети, он сможет атаковать другие рабочие станции.

Защита рабочих станций в сети WLAN не отличается от защиты переносных компьютеров, расположенных в другом месте. Необходимо установить соответствующее антивирусное ПО. Если риск велик, на рабочих станциях следует применить персональные межсетевые экраны.

Безопасность сайта

Если сети WLAN рассматриваются как наполовину доверенные или сети без доверия, не существует причин для размещения WLAN во внутренней сети с такими же правами доступа к секретным системам, какими обладают внутренние рабочие станции. В "Шифрование" рассказывалось о том, в каком месте сети следует располагать системы, не пользующиеся доверием. Не существует различия между сетями WLAN и подобными системами: их необходимо отделять от внутренней сети. Следовательно, сети WLAN необходимо развертывать в отдельных сегментах сети и установить межсетевой экран между сетью WLAN и внутренней сетью организации.

Наряду с сегментацией сети следует установить в WLAN систему обнаружения вторжений для выявления несанкционированных посетителей. Вероятно, что у вас не получиться обнаружить, где злоумышленник располагается физически, однако вы, по крайней мере, будете знать, что он проник в систему, если им будут осуществляться попытки выполнения какой-либо активной атаки.

В любом случае при использовании рабочей станции в сети WLAN необходимо использовать надежный механизм аутентификации. Стандарт 802.1X предусматривает более надежную аутентификацию, нежели SSID или MAC-адрес, однако он не защищен от перехвата сеанса соединения. Использование надежной аутентификации совместно с VPN значительно снизит возможность злоумышленника получить доступ к внутренним системам.

Нелегальные и несанкционированные точки доступа также представляют собой проблему, которую организации должны разрешать с целью предотвращения неприятностей. Низкая стоимость точек беспроводного доступа позволяет практически любому человеку приобрести такое устройство и установить его в сети. В организациях необходимо периодически проводить проверку беспроводных соединений в их собственных корпоративных сетях. Для этого можно использовать такие утилиты как NetStumber или средства обнаружения точек доступа во внутренней сети APTools (http://winfingerprint.sourceforge.net/aptools.php) или FoundScan (http://www.foundstone.com/).

< Лекция 17 || Лекция 18: 1234567
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Владислав Ветошкин
Владислав Ветошкин
Россия, Ижевск, Ижевский государственный технический университет имени А.Т. Калашникова, 2011
Саламат Исахан
Саламат Исахан
Россия, Turkistan