Понедельник, 22 Май 2006 | (9923)
 Обеспечение безопасности домашней беспроводной (home wireless) сети не является особо трудным. Для того чтобы достаточно серьезно обезопасить себя, необходимо сделать несколько простых действий. Прежде всего хочу сказать - что это первые шаги, которые необходимо сделать каждому! Советы ни в коем случае не претендуют на абсолютно полною уверенность в том что Ваша сеть в безопасности. Но если Вы не сделаете даже этих шагов, то можете быть стопроцентно уверены, что Ваша беспроводная сеть (wireless) очень уязвима...
Большинство маршрутизаторов беспроводных сетей (wireless routers), которые покупают для домашнего пользования идут с некоторыми настройками по умолчанию (default settings), которые позволяют легко получить доступ к Вашей системе. И хотя многие и боятся быть взломанными, но все же оставляют эти настройки нетронутыми... Итак, давайте будем менять эти настройки:
1) Обязательно измените настройки учетной записи администратора (administrator account).
Я использую Linksys Wireless Router, и по умолчанию, учетная запись администратора идет с пустым именем пользователя и паролем "admin". Поэтому первое, что мы делаем с таким маршрутизатором - меняем имя пользователя и пароль (username & password). В пароле обязательно надо использовать буквы (в разных регистрах), цифры и знаки препинания... Чем длиннее пароль тем тяжелее его сломать. Пароль должен быть не словесный (такие пароли легко подобрать), а просто пустым набором символом.Но не переусердствуйте, чтобы не забыть его и не сбрасывать потом все настройки маршрутизатора, для того чтобы что-то поменять...
2) Обязательно измените SSID (Service Set Identifier- Идентификатор набора обслуживания)
SSID доложен быть уникальным, но ни в коем случае не быть тем, который был назначен производителем. Это делается для того, чтобы если Вас сканируют, то по вашему стандартному SSID'у не узнали, какого производителя Ваш маршрутизатор. Так-же очень желательно отключить SSID broadcasting- если взломщик не видит вашего SSID- значит у него больше будет работы чтобы Вас взломать (ну если очень захочет)
3) Выключите DHCP
Это очень важный шаг. Представьте себе, что все таки кто-то нашел лазейку к вашему маршрутизатору. И что? А то, что ему теперь просто достаточно подключиться к нему, чтобы получить автоматический IP адрес и увидеть Вашу сетку. Страшно? Тото-же... Думаю у Вас не так много дома компьютеров, чтобы пользоваться услугами DHCP сервиса... Лучше пропишите все адреса вручную.
4) Включите WPA-Encryption (шифрование трафика)
Шифрование трафика обезопасит Вас от перехвата Ваших сетевых пакетов каким нибуть Васей, который сидит в соседней квартире. Если Ваш маршрутизатор не поддерживает как минимум WPA шифрование трафика- смотрите пункт 6, если не поможет - выбросьте его на мусор. WEP-Шифрование можете даже не включать - оно ломается максимум за 15 минут.
5) Включите фильтр MAC адресов
Как Вы, наверное знаете, у каждого сетевого устройства, кроме IP адреса есть так еще MAC адрес. И этот MAC адрес - уникален. Фильтр MAC адресов укажет маршрутизатору, с какими сетевыми устройствами можно общаться. Здесь надо будет указать MAC адреса всех ваших сетевых устройств (сетевые принтеры, компьютеры, Pocket PC,...). Это конечно, займет некоторое время- но поставит еще один плюсик в анкете по безопасности (и плюсик будет в Вашу сторону, а не в сторону хакера)
6) Залейте на Ваш маршрутизатор последнюю доступную прошивку.
Это даст Вам некоторую уверенность в том, что в Вашем маршрутизаторе (wireless router) залатаны все дыры, которые известны на сегодня. Так-же это иногда помогает добавить некоторый функционал Вашему устройству (например новый тип шифрования трафика)
Конечно опытные профи могут сказать, что этих шагов не достаточно, чтобы быть стопроцентно уверенным, что Вы в безопасности, НО все таки для начала лучше сделать эти шаги, чем быть абсолютно уязвимыми...
|
Комментарии
2008-07-2209:36:14 Автор по всем пунктам прав....
1. WEP - 10 мин (при SSID broadcasting=OFF и DHCP=OFF) и я буду в сетке с IP без проблем.
2. WPA - если пароль будет (например \"beautiful\") - 10 мин, если будет бред (например \"ght007rhfcysq\") - шансов мало...
2007-01-2313:18:32 Паранойя...
2006-07-2412:41:47 Самым эффективным способом защиты будет выдача IP от DHCP по МАС'у причем включать точку только тогда когда необходим выход в инет и при уже включенном компе. Таким образом исключается подмена MAC адреса, хотя конечно подменить MAC довольно трудно особенно если не знать какой :) А вообще это параноя. Wi-Fi ставят обычно на анлим-тарифы, и при этом трафик можно и не закрываться если не бояться спамеров и сильной загрузки канала.
2006-07-0716:46:34 1. убрать SSID Broadcast
2. включить WPA-PSK or WPA(g mode)
3. разрешить определенные MAKi
вот и все што нада :)
2006-06-0508:54:29 А дальше разместим в газете объявление в котором напишем что в районе нашего дома есть хот спот для бесплатного доступа в интернет...
2006-06-0508:53:32 Цитирую Mike: ... Это же не Пентагоновская сеть.. Нет, мы сделаем по другому :) мы поставим шифровать ничего не будем, никого никуда скрывать не будем, и в сеть поставим исключительно Windows 98 с открытой шарой на запись и чтение на диске C: :lol:
2006-06-0300:17:05 ... Кстати, SSID каждой сети высвечивается при простом сканировании. Извините ребята, но задачей 128 битного кода шифрования WEP, да и просто WPA с длинным ключем можно вполне обойтись.
2006-06-0300:09:46 ... Еще в кучу закроем все порты и перережем кабель питания, параноик. Это же не Пентагоновская сеть.
2006-06-0300:09:16 Круто. Отключим DHCP, то есть пойдем на статику (очень удобно для тех кто на работу тот же комп носит, или альтернативку пропишем?), пропишем MAC адрес и установим пароль админа из по крайней мере 20 непечатных символов.
2006-05-2616:36:54 Цитирую holger: WPA не ломается за 15 мин... Это WEP так можно сломать. А я о чем? Читаем ВНИМАТЕЛЬНО: WEP шифрование можете даже не включать- оно ломается максимум за 15 минут... Чувствуете разницу? WEP это не WPA :lol: