Джон Росс - Wi-Fi. Беспроводная сеть

— не используйте электронную почту для передачи WEP-ключей. Если посторонний украл названия учетных записей и пароли, похититель будет получать сообщения с вашими новыми ключами до того, как их получат ваши законные пользователи;

— добавьте другой уровень шифрования, например Kerberos, SSH или VPN поверх WEP-шифрования, интегрированного в беспроводную сеть;

— не используйте принятый по умолчанию SSID вашей точки доступа. Эти настройки хорошо известны сетевым хакерам;

— смените SSID на что-либо, не определяющее вашу работу или месторасположение. Если недоброжелатель обнаружит название BigCorpNet и, оглядевшись, увидит штаб-квартиру BigCorp напротив через улицу, он, скорее всего, целенаправленно проникнет в вашу сеть. То же касается домашней сети. Не называйте ее Перкинсы (Perkins), если это имя написано на внешней стороне вашего почтового ящика. Не используйте SSID, который звучит так, как будто ваша сеть содержит некоторого рода заманчивую информацию, — используйте непримечательное название, например пустое поле, «сеть- или даже строку из случайных символов (W24rnQ);

— смените IP-адрес и пароль вашей точки доступа. Принятые по умолчанию пароли для большинства инструментов конфигурирования точек доступа найти легко (и они часто повторяются от одного производителя к другому — совет: не используйте «admin»), поэтому они недостаточно хороши даже для защиты от ваших собственных пользователей, не говоря уже о посторонних недоброжелателях, намеревающихся использовать вашу сеть в своих собственных целях;

— отключите функцию «широковещательный SSID» для точки доступа, которая допускает реализацию подключений от клиентов без наличия правильного SSID. Это не дает гарантии, что ваша сеть будет невидима, но может помочь;

— включите функцию управления доступом для своей точки доступа. Управление доступом ограничивает подключения к сетевым клиентам с заданными МАС-адресами. Точка доступа будет отказывать в соединении любому адаптеру, чей адрес не присутствует в списке. Это может быть непрактично, если вы хотите разрешить другим посетителям пользоваться вашей сетью, но это полезный инструмент для домашней и малой офисной сети, где вы знаете всех своих потенциальных пользователей. Аналогично функции «широковещательный SSID» это не дает гарантии, но и не повредит;

— протестируйте защиту своей сети, попробовав найти ее с улицы. Возьмите портативный компьютер с запущенной программой сканирования, такой как Network Stumbler или утилита отображения состояния вашего сетевого адаптера, и начинайте отходить от здания. Если вы можете обнаружить свою сеть на расстоянии квартала, это же сможет и посторонний. Помните, что недоброжелатели могут использовать направленные антенны с высоким коэффициентом усиления, которые это расстояние увеличивают;

— воспринимайте сеть как широко открытую для коллективного доступа. Удостоверьтесь, что все использующие сеть сознают, что они используют небезопасную систем;

— распространяйте файловый доступ только на файлы, которые действительно хотите сделать доступными. Не открывайте весь диск. Используйте защиту паролем для каждого доступного элемента;

— используйте тс же инструменты защиты, которые использовали бы в проводной сети. В лучшем случае беспроводная часть вашей локальной сети является не более защищенной, чем проводная часть, поэтому вы должны соблюдать все те же предосторожности. В большинстве случаев беспроводная часть сети является гораздо менее защищенной, чем проводная;

— рассмотрите использование виртуальной частной сети (VPN) для дополнительной защиты.

Некоторые специалисты используют другой метод защиты беспроводной сети. Они принимают идею о том, что сеть 802.11b является незащищенной, поэтому даже не пытаются использовать встроенные функции защиты. Например, группа сетевой защиты Advanced Supercomputing Division NASA в Калифорнии установила, что «сеть сама по себе не обеспечивает надежной аутентификации и защиты от взлома» и что «функции защиты 802.11b лишь потребляют ресурсы, не обеспечивая взамен никакой реальной защиты». Поэтому она отключила все функции защиты 802.11b и использует вместо этого свой собственный файерволл беспроводной сети — Wireless Firewall Gateway (WFG). WFG представляет собой маршрутизатор, расположенный между беспроводной и остальной частью сети, поэтому весь входящий и исходящий сетевой трафик с беспроводных устройств (включая доступ в Интернет) должен проходить через шлюз.