Невозможно включить wifi согласно требованиям корпоративной безопасности
Проблема защиты корпоративных данных с каждым годом все актуальнее. Все больше критических данных передается по беспроводным сетям, и информационная безопасность (ИБ) все больше зависит от квалификации ИТ-специалистов.
В 2015 г. впервые хакерам в России удалось совершить три крупных хищения на рекордную общую сумму 721 млн рублей. Пострадали хорошо защищенные, на первый взгляд, финансовые организации. Эти знаковые события произошли на фоне неблагоприятной экономической ситуации, которая затрудняет инвестиции в ИБ.
Wi-Fi — история хакерских успехов
Изначально в стандарт Wi-Fi 802.11 был заложен режим аутентификации WEP с алгоритмом шифрования RC4, который использует обычный статический или динамический ключ длиной 64 или 128 бит. Впервые WEP взломали в 2000 году. Популярному в те годы компьютеру с процессором Pentium 4 требовалось порядка 1 часа для дешифрации. Использование ресурсов современных облачных серверов и доступный мобильный интернет через 3G/LTE позволяет вскрыть защиту за считанные секунды.
Фото 1: Типы сетей в зависимости от надежности шифрования
В 2003 г. появился WPA с алгоритмом TKIP, который генерирует ключ для каждого пакета. Сегодня WPA-TKIP при определённом везении можно взломать за несколько часов. Например, летом 2015 г. бельгийские исследователи смогли перехватить зашифрованные cookie-файлы и за час получить доступ к компьютеру.
С 2006 г. обязательным стандартом для Wi-Fi устройств является поддержка более совершенного алгоритма шифрования WPA2 AES. Он более надежен, поэтому предыдущие алгоритмы использовать нет смысла. Однако, как и TKIP этот алгоритм также может быть взломан "в лоб" с помощью перебора вариантов пароля с использованием словаря. Специальное ПО при помощи массированный DDoS-атаки выводит из строя точку доступа. Далее, эмулирует работу точки с тем же SSID. После попытки авторизации «жертвы» на такой точке, хакер получает хэш-функцию ключа PMK-R0. Следующим этапом запускается процесс подбора пароля. Простые пароли подбираются за несколько часов, в то время как на подбор сложных паролей может потребоваться несколько недель и даже месяцев.
Дополнительные меры защиты
Иногда для дополнительной защиты сети используется фильтрация MAC-адресов (уникальный номер каждой активной единицы в сети). При фильтрации подключиться к сети могут только устройства, MAC-адреса которых администратор внес в таблицу доверенных на роутере или точке доступа. Теоретически таким образом можно предотвратить несанкционированное подключение. Но на практике фильтрация MAC-адресов быстро ломается, например с помощью "грубой силы" (брутфоса), то есть сканированием MAC-адреса подключенного клиента и последующей "наглой" атакой под названием деаутентификация и подключением своего устройства с изменённым MAC-адресом.
Таким образом, фильтрация MAC-адресов не является серьезной защитой, но при этом создает массу неудобств. В частности, приходится вручную добавлять каждое новое устройство в таблицу доверенных.
Режим скрытого идентификатора сети SSID — популярный способ дополнительной защиты сети Wi-Fi. Каждая сеть имеет свой уникальный идентификатор SSID (название сети). В режиме скрытого идентификатора клиентские устройства не видят сеть в списке доступных. Подключиться к сети в режиме Hide SSID можно, только если точно знаешь ее идентификатор и есть заранее готовый профиль подключения.
Обнаружить скрытую сеть довольно просто с помощью таких утилит, как Kismet. Cамо по себе подключение к скрытой сети выдает ее существование и идентификатор хакеру. Дальше сценарий взлома такой же, как и в обычных сетях Wi-Fi. Как видим, Hide SSID также не является надежным способом защиты, но при этом также создает проблемы. Прежде всего нужно вручную подключать новые устройства. К тому же стандарты Wi-Fi изначально предусматривали открытую трансляцию SSID, поэтому у большинства устройств возникнут проблемы с автоподключением к Hide SSID. В целом использование Hide SSID нецелесообразно.
Отличия между персональной (PSK) и корпоративной (Enterprise)
Следует различать разные подходы к обеспечению персональных и корпоративных сетей. Дома и в небольших офисах обычно применяют PSK (Pre-Shared Key) — пароль от 8 символов. Этот пароль у всех одинаковый и часто слишком простой, поэтому уязвим для подбора или утечек (увольнение сотрудника, пропавший ноутбук, неосторожно приклеенный на виду стикер с паролем и т. п.). Даже самые последние алгоритмы шифрования при использовании PSK не гарантируют надежной защиты и поэтому в серьезных сетях не применяется. Корпоративные решения используют для аутентификации динамический ключ, который меняется каждую сессию для каждого пользователя. Ключ может периодически обновляться во время сессии с помощью сервера авторизации — обычно это сервер RADIUS.
WPA2-Enterprise + 802.1X и сертификаты безопасности — самая надежная защита
Корпоративные сети с шифрованием WPA2-Enterprise строятся на аутентификации по протоколу 802.1x через RADIUS-сервер. Протокол 802.1x (EAPOL) определяет методы отправки и приема запроса данных аутентификации и обычно встроен в операционные системы и специальные программные пакеты.
802.1x предполагает три роли в сети:
- клиент (supplicant) - клиентское устройство, которому нужен доступ в сеть;
- cервер аутентификации (обычно RADIUS);
- аутентификатор — роутер/коммутатор, который соединяет множество клиентских устройств с сервером аутентификации и отключает/подключает клиенсткие устройства.
Фото 3: Схема работы WPA2-Enterprise 802.1x
Есть несколько режимов работы 802.1x, но самый распространенный и надежный следующий:
- Аутентификатор передает EAP-запрос на клиентское устройство, как только обнаруживает активное соединение.
- Клиент отправляет EAP-ответ — пакет идентификации. Аутентификатор пересылает этот пакет на сервер аутентификации (RADIUS).
- RADIUS проверяет пакет и право доступа клиентского устройства по базе данных пользователя или другим признакам и затем отправляет на аутентификатор разрешение или запрет на подключение. Соответственно, аутентификатор разрешает или запрещает доступ в сеть.
Фото 2: Внутренние протоколы (методы) EAP
Использование сервера RADIUS позволяет отказаться от PSK и генерировать индивидуальные ключи, валидные только для конкретной сессии подключения. Проще говоря, ключи шифрования невозможно извлечь из клиентского устройства. Защита от перехвата пакетов обеспечивается с помощью шифрования по разным внутренним протоколам EAP, каждый из которых имеет свои особенности. Так, протокол EAP-FAST позволяет авторизоваться по логину и паролю, а PEAP-GTC — по специальному токену (карта доступа, карточки с одноразовыми паролями, флешки и т. п.). Протоколы PEAP-MSCHAPv2 и EAP-TLS проводят авторизацию по клиентским сертификатам.
Максимальную защиту сети Wi-Fi обеспечивает только WPA2-Enterprise и цифровые сертификаты безопасности в сочетании с протоколом EAP-TLS или EAP-TTLS. Сертификат — это заранее сгенерированные файлы на сервере RADIUS и клиентском устройстве. Клиент и сервер аутентификации взаимно проверяют эти файлы, тем самым гарантируется защита от несанкционированных подключений с чужих устройств и ложных точек доступа. Протоколы EAP-TTL/TTLS входят в стандарт 802.1X и используют для обмена данными между клиентом и RADIUS инфраструктуру открытых ключей (PKI). PKI для авторизации использует секретный ключ (знает пользователь) и открытый ключ (хранится в сертификате, потенциально известен всем). Сочетание эти ключей обеспечивает надежную аутентификацию.
Цифровые сертификаты нужно делать для каждого беспроводного устройства. Это трудоемкий процесс, поэтому сертификаты обычно используются только в Wi-Fi-сетях, требующих максимальной защиты. В то же время можно легко отозвать сертификат и заблокировать клиента.
Сегодня WPA2-Enterprise в сочетании с сертификатами безопасности обеспечивает надежную защиту корпоративных Wi-Fi-сетей. При правильной настройке и использовании взломать такую защиту практически невозможно "с улицы", то есть без физического доступа к авторизованным клиентским устройствам. Тем не менее, администраторы сетей иногда допускают ошибки, которые оставляют злоумышленниками "лазейки" для проникновения в сеть. Проблема осложняется доступностью софта для взлома и пошаговых инструкций, которыми могут воспользоваться даже дилетанты.
Хакерский софт доступен всем
WPA2-Enterprise с аутентификацией по логину и паролю без использования сертификатов можно взломать с помощью хакерского дистрибутива Kali Linux и Wi-Fi-карточки в режиме точки доступа. Суть взлома — в создании поддельной точки доступа с сервером RADIUS для получения пакетов EAP и логина защищенной сети. Создать поддельную точку сегодня не проблема с помощью таких утилит, как Mana Toolkit, встроенной в Kali.
Фото 4: Обычно злоумышленники используют смартфон с подключенной к нему карточкой и мобильной версией Kali NetHunter
С помощью поддельной точки доступа MANA хакер получает хэши паролей и логины пользователей сети, а затем на мощном ПК брутфорсом подбирает пароли. Делается это достаточно быстро благодаря большой вычислительной мощности современных процессоров. Кроме того, есть алгоритмы для перебора паролей с помощью GPU видеокарт, что ускоряет процесс до считанных часов.
В результате хакер получает доступ к учетным записям для входа в корпоративную сеть Wi-Fi или VPN.
"Человек посередине" — основная угроза
Хакерская атака под названием "человек посередине" (Man in the middle или сокращенно MITM) является наиболее серьезной угрозой для правильно организованной WPA2-Enterprise с сертификатами безопасности.
Фото 5: Суть атаки "человек посередине”: хакер превращает прямое защищенное соединение в два разных с хакерским клиентом посередине
Схема очень проста: на запрос открытого ключа отвечает не доверенный пользователь, а посредник, который притворяется доверенным пользователем. Компьютер злоумышленника выступает в роли PROXY-сервера. В итоге происходит обмен конфиденциальной информацией, и злоумышленник может перехватывать, подменять, удалять или изменять пакеты данных.
Подобную схему внедрения в конфиденциальную связь придумали еще до интернета — во времена бумажных писем, когда оригинальные письма в пути подменялись поддельными.
Особенно опасны такие атаки для финансовых систем, осуществляющих расчеты через онлайновые платежные системы. Хакер может заражать вредоносным кодом электронные письма, веб-страницы, СУБД, получать доступ к интернет-банкингу, учетным записям в соцсетях, CMS сайтов и т. д.
Защита от посредника
Атака MITM не является абсолютным оружием хакера. При соблюдении всех требований ИБ внедрение посредника невозможно.
Администратор обязан регулярно проверять сетевой трафик на предмет подозрительной активности, включая задержки при передаче пакетов. В зонах, где осуществляются критичные транзакции, рекомендуется устанавливать Wi-Fi-сенсоры для выявления хакерской активности в режиме реального времени. Подробнее читайте в статье «Мониторинг Wi-Fi сети»
Вывод: Поэтому на первое место выходит подготовка специалистов и эффективное использование существующих технологий защиты данных. Так, шифрование WPA2-Enterprise может стать непробиваемым барьером для злоумышленников, если знать, как правильно его организовать. Доверьте вопрос информационной безопасности профессионалам!
К счастью, последнее время мы стали реже слышать подобные фразы от заказчиков, когда разговор касается производительности и безопасности Wi-Fi сетей, но не все так безоблачно. Все еще много компаний, чьи ИТ-специалисты не считают нужным обеспечить должным образом защиту беспроводного сегмента корпоративной сети.
В этой публикации мы расскажем о том, как защитить Wi-Fi сеть и дадим для этого конкретные рекомендации.
Чаще всего мы сталкиваемся с ситуацией, когда в организациях беспроводные сети организованы следующим образом:
- Беспроводная сеть построена на базе SOHO (Small office/home office ) маршрутизаторов/точек доступа, не предназначенных для работы в нагруженных сетях
- Используется аутентификация на основе разделяемых общих ключей (Pre-Shared key)
- Из беспроводной сети есть ничем не ограниченный доступ к серверам и другим ресурсам
- Доступ в сеть Интернет настроен без каких-либо ограничений/проверок
- За обновлениями версий прошивок на оборудовании нет должного контроля
- Используются настройки оборудования по умолчанию
Это применимо не ко всем компаниям и не все пункты сразу, но пара-тройка замечаний есть как правило у всех. Давайте разберем несколько ситуаций и представим, что в таком случае может произойти.
Самый простой доступ к сети
Любой не авторизованный пользователь, проще говоря злоумышленник, может получить доступ к локальной сети организации даже находясь за её пределами! Общие ключи аутентификации как правило не меняются в течение длительных периодов времени и известны широкому кругу лиц. Далее, используя простые методы, можно осуществить атаку на любой сервер/ПК и получить доступ практически к любой информации.
Не защищённый BYOD (bring your own device)
Так же к сети подключается большое количество личных устройств сотрудников и гостей, защищённость которых невозможно проконтролировать. Возникает риск проникновения вредоносного ПО в локальную сеть через такие устройства, например, шифровальщиков и криптомайнеров.
Неконтролируемая эксплуатация
Устаревшие версии прошивок содержат массу уязвимостей, через которые можно получить доступ к управлению и, как следствие, потерю контроля над беспроводной сетью. Так же устаревшие версии могут быть не стабильны, оборудование может “зависать и глючить”.
Некорректный ввод в эксплуатацию
Не изменённые в процессе запуска сети пароли и IP адреса, используемые по умолчанию, легко ищутся в документации, особенно, когда известна модель установленного оборудования, которая может быть определена простым сканированием.
Отсутствие современных мер защиты
И наконец, как вариант, можно просто заблокировать работу беспроводной сети путём осуществления DoS атаки на оборудование, так как SOHO устройства не обладают функционалом защиты!
Как же обезопасить Wi-Fi сеть организации и защитить коммерческую информацию от взлома потенциальными злоумышленниками? — Сейчас расскажем!
Этим шагом вы исключите возможность компрометации управления оборудованием. Никто кроме авторизованных администраторов не сможет изменять параметры беспроводной сети.
Шаг №2 Следите за обновлениями
Регулярно проверяйте наличие обновлений и обновляйте версии операционных систем (прошивок) оборудования беспроводной сети.
Выполняя эту нехитрую операцию, вы исключаете возможность эксплуатации злоумышленниками известных и распространенных уязвимостей, а оборудование будет работать стабильно и без зависаний.
Шаг №3 Настройте актуальные технологии и алгоритмы шифрования
Используйте только проверенные технологии доступа и алгоритмы шифрования такие как WPA2/WPA3 и AES. Не рекомендуем использовать WEP/WPA/TKIP
Эти настройки помогут вам исключить возможности взлома ключа, которые могут длится всего несколько десятков минут.
Шаг №4 Разделите Wi-Fi сети
Мы настоятельно рекомендуем вам разделить беспроводную сеть на гостевую и корпоративную. Гостевая сеть может иметь доступ только в сеть Интернет. Корпоративная может иметь доступ к локальной сети. Используйте сегментирование (VLAN) для разных сетей.
Следуя этой рекомендации, вы добавите еще один плюс в копилку безопасности вашей организации, так как гостевые устройства, личные смартфоны, и ноутбуки сотрудников не будут иметь никакого доступа к ресурсам локальной сети. Такие устройства обычно сложно или совсем невозможно проконтролировать на предмет соответствия правилам безопасности.
Корпоративные смартфоны, планшеты и ноутбуки, имеющие доступ к ресурсам локальной сети, подлежат строгим проверкам.
Шаг №5 Используйте строгую аутентификацию пользователей
Настройте строгую аутентификацию/авторизацию пользователей для корпоративной сети и временные пароли для гостевой. Например, для корпоративной сети можно использовать учётные записи и пароли на основе данных из Microsoft Active Directory. Для этого потребуется сервер, работающий по протоколу RADIUS. Например, Cisco ISE или Microsoft NPS.
Это позволит получить полную картину действий пользователей и их устройств в беспроводной сети, что поможет в предотвращении и расследовании возможных инцидентов информационной безопасности. Так же на беспроводную сеть будет распространена парольная политика из Microsoft AD.
Учётные записи для гостей с ограниченным сроком действия можно создавать из интерфейса контроллера беспроводной сети. При этом не будет возможности получения постоянного доступа по одним и тем же паролям в течение длительного периода времени, что минимизирует возможности нелегитимных действий сторонних пользователей.
Шаг №6 Не забывайте о межсетевом экранировании
Доступ к локальной сети из беспроводной должен быть организован только с использованием межсетевого экрана, на котором разрешены исключительно необходимые для работы правила.
Наиболее защищённый вариант, – это подключение устройств беспроводной сети к выделенным коммутаторам без связи с коммутаторами локальной сети.
При этом доступ к локальной сети может быть настроен через межсетевой экран и технологию VPN
Шаг №7 Не забывайте о межсетевом экранировании, часть 2
Доступ в сеть Интернет из всех сегментов беспроводной сети должен быть организован только через межсетевой экран (NGFW) на котором активирован функционал расширенной фильтрации, такой как система предотвращения вторжений, контроль DNS запросов и антивирус. Если нет возможности установить межсетевой экран, то, как минимум, используйте облачный сервис Cisco Umbrella для защиты пользователей беспроводной сети.
Такие меры не позволят вредоносному программному обеспечению проникнуть в корпоративную сеть, а также защитят неконтролируемые и, как правило, слабо защищённые гостевые и личные устройства.
Шаг №8 Используйте дополнительный функционал защиты контроллера Wi-Fi сети
Настройте функционал системы предотвращения вторжений (Wireless IPS), а также защиту управляющих кадров (Management Frame Protection), входящих в состав любого полноценного контроллера беспроводной сети.
WIPS будет защищать от поддельных Wifi сетей и блокировать атаки, соответствующие известным шаблонам (сигнатурам), MFP не позволит нарушить работу сети путём подмены управляющих кадров.
Шаг №9 Ведите мониторинг
На регулярной основе осуществляйте мониторинг как событий доступа к беспроводной сети, так и потоков трафика в локальную сеть и в сеть Интернет. Для этого подойдёт либо самый простой Syslog сервер, входящий в базовый набор любого дистрибутива Linux либо профессиональное решение, например SolarWinds.
Это позволит проанализировать уже произошедшие инциденты и предотвратить появление новых.
Шаг №10 Чтобы было что защищать, нужно это качественно построить
Если показатели качества работы вашей Wi-Fi сети не соответствуют предъявляемым к ней требованиям, мы рекомендуем провести аудит и выяснив причину низкой производительности устранить её.
В том случае, если вы еще только планируете строительство беспроводной сети в вашей организации, отнеситесь к этой задаче с должным уровнем ответственности — отдайте эту задачу профессионалам.
Направление профессиональных сервисов в части беспроводных сетей является одним из фокусных для нашей компании, поэтому команда радиоинженеров LWCOM готова в любой момент подключиться к вашему проекту.
Как-то раз я заметил, что домашний интернет тормозит. Причем довольно сильно: даже картинки в ленте соцсетей грузились медленно. Перезагрузка устройства и роутера не помогла. Пришлось выяснить, ворует ли кто-то мой трафик, а затем решить проблему.
Быть специалистом для этого не нужно. Если вы столкнулись с такой же проблемой, могу посоветовать такой план действий.
Интернет может работать медленно не только из-за недобросовестного соседа, который умудрился подключиться к вашей сети. Поэтому сначала стоит выяснить, действительно ли кто-то ворует ваш вайфай или проблема на стороне провайдера.
Вот несколько способов.
Проверить светодиоды на роутере. Выключите все устройства, подключенные к интернету. Не забудьте про телевизор и умный пылесос, если они тоже подключаются к общей вайфай-сети.
После этого посмотрите на индикаторы роутера — обычно это несколько лампочек-диодов на передней или задней панели устройства. Если после отключения индикаторы не мигают, то роутер не «качает» информацию, а значит, посторонних подключений нет.
Это не совсем точный метод диагностики. Если сосед не будет воровать вайфай во время проверки, мигающих диодов вы не увидите.
Использовать специальные программы. Вам нужны сканеры вайфай-сети, которые определяют все подключенные к роутеру устройства. Таких приложений много, все они практически одинаковые.
Например, для смартфонов попробуйте Fing или « Wi-Fi Монитор», для компьютеров — SoftPerfect WiFi Guard.
Алгоритм проверки такой: устанавливаете приложение, подключаетесь к вайфай-сети и запускаете сканирование. Программа покажет количество подключенных устройств и их тип: например, смартфон или ноутбук.
Программа показывает три подключенных ноутбука, а у владельца сети их всего два. Что-то не такПроверьте сеть в настройках роутера. Сторонние приложения не всегда выдают точный результат — иногда сканеры показывают якобы подключенное устройство, которого в сети быть не может. Поэтому результаты нужно проверять через внутренний интерфейс роутера.
Откройте любой браузер и в адресной строке введите IP-адрес роутера. Это четыре цифры через точку, обычно их указывают на наклейке на задней стороне устройства. Или попробуйте ввести адреса по умолчанию, это 192.168.0.1 или 192.168.1.1.
Вводить IP роутера нужно в строку, где вы обычно печатаете адреса сайтовЛогин и пароль указаны на той же наклейке, что и адрес. Обычно это admin и admin. Если у вас роутер от провайдера и вы не можете найти логин и пароль, позвоните в техподдержку, там должны помочь.
Если вы забыли пароль, сбросьте настройки роутера к заводским значениям. Не отключая питание роутера, нажмите и удерживайте кнопку Reset, пока все светодиодные индикаторы не загорятся, а затем отпустите ее.
Дальше действия зависят от модели устройства — интерфейсы в зависимости от бренда разные. Вам нужен раздел с информацией о сети: сканер, карта сети, My Network, Device List или список DHCP. В нем будет журнал подключений — роутер покажет, какие устройства подключены сейчас, а какие подключены, но сейчас не активны.
В моем роутере раздел «Карта сети» показывает, что по вайфаю к сети подключен только телевизор LG, а телефоны и ноутбук не активныДопустим, вы обнаружили злоумышленника, который без разрешения пользуется вашим вайфаем. Сначала нужно отключить ему доступ, а затем защититься от подобных вторжений.
Поменять пароль. Возможно, «хакер» смог подобрать ваш пароль специальной программой или вы используете какой-то из списка самых популярных паролей — их проверяют в первую очередь. В 2020 году, судя по рейтингу NordPass, первое место заняла комбинация 123456.
Установите уникальный пароль, не связанный с адресом помещения, где стоит роутер. Не стоит использовать номер квартиры или адрес дома.
Ограничить количество подключений. Этот способ подходит тем, кто точно знает количество устройств, которые должны работать в сети. Найдите в настройках роутера, в разделе Wi-Fi , пункт «Ограничение на подключение» и укажите нужное число.
Включить гостевую сеть. Чтобы не лазить в настройки роутера каждый раз, когда друзья просят пароль от вайфая, включите «Гостевую сеть». Это специальный режим подключения к интернету — с ограничением скорости и отдельным паролем.
Мой роутер предлагает ограничивать количество пользователей, а гостям авторизовываться на специальном портале — для этого им нужно ввести парольЕще стоит проверить настройки роутера. Если устройство старое, в нем может быть включен устаревший тип шифрования. Например, вместо современного WPA2-PSK будет WPA, который «принимает» более короткий пароль — а значит, злоумышленнику будет проще его подобрать.
Смотреть тип шифрования нужно в настройках, затем в разделе «Безопасность».
Если вы не уверены в навыках, лучше ничего не менять самостоятельно: когда вы переключаете какой-то режим, в роутере автоматически могут измениться и другие настройки. Может пропасть соединение, и переключение обратно уже не поможет — придется все настраивать заново. Поэтому лучше обратитесь к провайдеру или позовите специалиста.
Какая-то подборка вредных советов.
1. Отключите все устройства от Wi-Fi
Вообще нечем заняться больше? :)
2. "Лампочки на роутере" могут говорить вообще ни о чём. Роутер может и сам стучаться в интернет, например проверять обновления прошивки или подтягивать какую-то служебную информацию.
3. Пароль от админки admin/admin
. и нет совета поменять пароль
4. Сброс до заводских настроек
. и потом поимейте шанс получить неработающий интернет, если без определённых настроек (например, статический IP или вход по логину/паролю к провайдеру) у вас под руками отсутствует
5. Сканер сети
Хорошие роутеры за такое и в чёрный список могут внести как злоумышленника
6. Поменять пароль
Первый дельный совет! По факту, с него и нужно было бы начинать, моментально отключив паразита от сети. На заметку автору, пароль у Wi-Fi как минимум 8 цифр, поэтому рейтинг у вас ни к чему.
Если у вас подозрение на воровство трафика, просто поменяйте пароль. Стало лучше? Начинайте подключать остальные домашние устройства по одному. Если после какого-то девайса интернет вдруг просел, возможно проблема уже в этом девайсе. Например, пресловутые вирусы, или неотключённая торрент-качалка.
А теперь нормальные советы по обезопасиванию домашнего роутера.
1. Отключите вход по WPS ("по кнопочке")
Это старая дыра, которая включена по-умолчанию почти на всех роутерах. Прямое приглашение в вашу домашнюю сеть.
2. Уменьшите мощность сигнала.
Даже условных "средних" настроек хватит для одной квартиры, зато соседи уже не подключатся.
3. Сделайте гостевую сеть
Как и пишет автор. В хороших роутерах, например Zyxel, для гостевой сети можно даже задать максимально допустимую скорость.
Только в эту сеть и пускайте своих гостей-друзей-соседей.
Офисный Wi-Fi может оказаться слабым местом в вашей системе защиты.
Практически в любом офисе есть своя сеть Wi-Fi, а бывает, что и не одна. В современном мире без беспроводного Интернета обойтись трудно: мало кому хочется подключать ноутбуки с помощью кабеля, а со смартфонами и планшетами это зачастую и вовсе невозможно. Однако беспроводная сеть может стать слабым местом вашей IT-инфраструктуры.
Подбор пароля
Уязвимость оборудования
В сетевом оборудовании постоянно обнаруживаются уязвимости, позволяющие злоумышленникам атаковать сеть в обход паролей и других защитных механизмов вашего Wi-Fi-маршрутизатора. В некоторых случаях благодаря этому они могут получить права суперпользователя на устройстве и дальше распоряжаться им по своему усмотрению. Патчи к таким уязвимостям выпускают достаточно регулярно. Беда только в том, что многие организации своевременно не спешат с их устанавкой.
Гостевая сеть
Многие компании используют разные Wi-Fi-сети для сотрудников и для гостей. Это разумная мера: с одной стороны, клиенты и другие посетители офиса могут подключиться к Интернету, с другой — доступа к корпоративной сети и внутренним ресурсам компании у них не будет. Тем не менее, гостевой Wi-Fi может сыграть и против вас.
Получить пароль от гостевого Wi-Fi достаточно легко — в этом его идея. При этом в некоторых случаях — при некорректной настройке сетевых политик — через гостевую сеть можно получить доступ к отдельным элементам корпоративной инфраструктуры. Например, нередко таким путем злоумышленники могут добраться до принтеров.
Даже при грамотной настройке гостевого Wi-Fi невольно поставить вас под удар могут ваши же сотрудники. Допустим, кому-то из них захотелось зайти на сайт, доступ к которому запрещен корпоративными политиками. Недолго думая, он подключает ноутбук или смартфон с рабочими данными к точке доступа для посетителей. Если в этот момент к сети подключатся злоумышленники, они получат возможность организовать MitM-атаку и заразить компьютер сотрудника.
Как сделать офисный Wi-Fi менее уязвимым?
Отказываться от Wi-Fi из соображений безопасности — это примерно как отказаться от машины, потому что есть риск попасть в аварию. Мы считаем, что лучше с умом подходить к организации и настройке сети:
Читайте также: