Как защитить собственную Wi-Fi сеть?
Chipollino Onion ClubРазумеется, злоумышленники могут подключаться как к открытым сетям Wi-Fi, так и взламывать закрытые, т. е. защищенные паролем. Существует даже термин для этого явления — вардрайвинг — т. е. поиск и взлом беспроводных сетей с различными целями: от простого бесплатного подключения до кражи передаваемых в такой взломанной сети данных. В таких случаях опасность попадания ваших данных к злоумышленникам возникает при подключении вашего устройства не только к публичной, пусть и защищенной паролем сети, но и к вашей собственной!
Проблема состоит в том, что многие пользователи (а, возможно, и вы), устанавливая у себя в квартире (офисе) беспроводную точку доступа, по незнанию или по другим причинам не включают шифрование либо не меняют установленные по умолчанию пароль и имя сети. В первом случае сеть позиционируется как открытая — и к ней без проблем можно подключиться. Такие частные сети попадаются довольно редко, чаще распространены рассмотренные ранее общественные бесплатные сети. Если же владелец роутера не сменил стандартный пароль к своей сети Wi-Fi (а некоторые производители беспроводных маршрутизаторов устанавливают на всех своих устройствах один и тот же ключ безопасности или пароль по умолчанию), то злоумышленник может подобрать его, если известен производитель и/или модель роутера. Такой стандартный пароль, как правило, может быть указан в документации к маршрутизатору или же найден во Всемирной паутине. Получив доступ к сети Wi-Fi пользователя, злоумышленник может получить root-доступ к самому маршрутизатору — это особенно легко, если не изменены дефолтные логин и пароль администратора. Например, обнаружив беспроводную сеть dlink, можно с большой вероятностью утверждать, что пользователь использует точку доступа производства компании D-Link, и, скорее всего, для подключения к такому роутеру подойдет один из стандартных паролей этого производителя. Стоит отметить, правда, что современные модели роутеров часто не позволяют использовать стандартный пароль беспроводной сети, как и root-пароль, требуя указать безопасные.
Стандартные пароли от Wi-Fi
Списки дефолтных (стандартных по умолчанию) авторизационных данных к разным моделям роутеров доступны, к примеру, по адресам tinyurl.com/mou58hz и tinyurl.com/ pjop84w.
Часто доступ к чужой сети можно получить, попробовав и один из наиболее распространенных паролей. Согласно исследованиям Лаборатории Касперского1, 34% пользователей применяют простые пароли, среди которых 17% задают в этом качестве дату своего рождения, 10% — номер телефона, 10% — имя и 9% — кличку домашнего питомца. А вот и другие распространенные пароли: 123, 12345, 123456, 1234567, 1234567890, 0987654321, 7654321, 654321, 54321, 321, 753951, 11111, 55555, 77777, qwerty, pass, password, admin. В РОССИИ наиболее популярны пароли из последовательности цифр, о чем говорят неоднократные анализы баз данных разных сайтов. Используются также русские слова, набранные в латинской раскладке. Список наиболее распространенных паролей приведен здесь tinyurl.com/nhfok9t
Этот список приведен здесь для проверки безопасности вашей собственной сети — если пароль доступа к ней присутствует в списке, или он иной, но тоже примитивный, рекомендуется, не откладывая, сменить его. Для подбора надежного пароля, состоящего, как правило, из букв в разном регистре, цифр и специальных символов, можно обратиться к одной из соответствующих программ, например, к программе KeePassX. Помимо установки надежного пароля, необходимо следовать приведенным ниже рекомендациям для защиты собственной сети Wi-Fi:
- не пользуйтесь алгоритмом WEP — этот алгоритм (Wired Equivalent Privacy, конфиденциальность на уровне проводных сетей) безнадежно устарел. Реализуемый им шифр могут легко и быстро взломать большинство даже неопытных хакеров. Вместо него следует перейти на алгоритм WPA2 (Wi-Fi Protected Access, защищенный доступ Wi-Fi), который обеспечивает надежную аутентификацию пользователей с использованием стандарта 802. \х (рис. 1.7). Если какие-либо ваши устройства или точка доступа не поддерживают алгоритм WPA2, вы можете обновить их прошивку или приобрести новое оборудование;
- обязательно пользуйтесь системой предотвращения/обнаружения вторжений для беспроводных сетей — обеспечение безопасности Wi-Fi не ограничивается непосредственной борьбой с попытками получить к сети несанкционированный доступ. Хакеры могут создавать фиктивные точки доступа в сети или проводить атаки на отказ в обслуживании. Чтобы распознавать такие вторжения и бороться с ними, следует внедрить беспроводную систему предотвращения вторжений. Такие системы прослушивают эфир в поисках фиктивных точек доступа и вредоносной активности, по возможности блокируют ее и предупреждают системного администратора.
- не полагайтесь на сокрытие SSID — один из мифов Wi-Fi-безопасности состоит в том, что отключение широковещательной рассылки SSID — идентификатора беспроводной сети — «скроет» вашу сеть или, по крайней мере, сам SSID от хакеров. Однако такая опция лишь удаляет SSID из сигнальных кадров точки доступа. Идентификаторы сети по-прежнему содержатся в запросах на ассоциацию 802.11, а также иногда в пакетах проверки и ответах на них. Поэтому перехватчик с помощью анализатора беспроводных сетей может обнаружить «скрытый» SSID довольно быстро, особенно в сети с высокой активностью. Сокрытие SSID также может отрицательно сказаться на быстродействии сети и повысит*» сложность ее конфигурирования— вам придется вручную вводить название сети на клиентах, что дополнительно усложняет их настройку. Кроме того, увеличится число зондирующих и ответных пакетов в сети, из-за чего снижается ее доступная пропускная способность;
- не полагайтесь на фильтрацию по МАС-адресам — еще один миф из области защиты беспроводных сетей гласит, что включение фильтрации по МАС-адресам позволяет создать дополнительный уровень безопасности, предотвращающий допуск в сеть посторонних клиентов. Это до некоторой степени верно, но следует помнить, что при анализе трафика атакующие очень легко могут выяснить разрешенные МАС-адреса и подделать их на своих устройствах. Поэтому не стоит слишком полагаться на надежность МАС- фильтрации, хотя этой функцией можно пользоваться для ограничения возможности пользователей подключать к сети несанкционированные устройства и компьютеры. Следует также иметь в виду высокую сложность ведения и своевременного обновления списка МАС-адресов.
- уменьшите радиус сигнала Wi-fi. Роутеры позволяют изменять мощность сигнала, увеличивая и уменьшая таким образом радиус действия беспроводной сети. Очевидно, что вы пользуетесь Wi-Fi только внутри квартиры или офиса. Понизив мощность передачи до значения, когда сигнал сети уверенно принимается только в пределах помещения, вы, с одной стороны, сделаете свою сеть менее заметной для окружающих, а с другой стороны, уменьшите количество помех для соседских Wi-Fi.
Источники:
"Искусство легального, анонимного и безопасного доступа к ресурсам Интернета" М.Райтман
https://lifehacker.ru/2012/05/11/kak-zashhitit-svoyu-wi-fi-set-i-router/
Chipollino Onion Club