Защищённый и не защищённый вай фай. Устанавливаем пароль на доступ к настройкам Wi-Fi роутера. Откажитесь от использования алгоритма WEP

Пароль и фильтрация по MAC-адресу должны защитить вас от взлома. На самом деле безопасность в большей степени зависит от вашей осмотрительности. Неподходящие методы защиты, незамысловатый пароль и легкомысленное отношение к посторонним пользователям в домашней сети дают злоумышленникам дополнительные возможности для атаки. Из этой статьи вы узнаете, как можно взломать WEP-пароль, почему следует отказаться от фильтров и как со всех сторон обезопасить свою беспроводную сеть.

Защита от незваных гостей

Ваша сеть не защищена, следовательно, рано или поздно к вашей беспроводной сети подсоединится посторонний пользователь — возможно даже не специально, ведь смартфоны и планшеты способны автоматически подключаться к незащищенным сетям. Если он просто откроет несколько сайтов, то, скорее всего, не случиться ничего страшного кроме расхода трафика. Ситуация осложнится, если через ваше интернет-подключение гость начнет загружать нелегальный контент.

Если вы еще не предприняли никаких мер безопасности, то зайдите в интерфейс роутера через браузер и измените данные доступа к сети. Адрес маршрутизатора, как правило, имеет вид: http://192.168.1.1 . Если это не так, то вы сможете выяснить IP-адрес своего сетевого устройства через командную строку. В операционной системе Windows 7 щелкните по кнопке «Пуск» и задайте в строке поиска команду «cmd». Вызовите настройки сети командой «ipconfig» и найдите строку «Основной шлюз». Указанный IP - это адрес вашего роутера, который нужно ввести в адресной строке браузера. Расположение настроек безопасности маршрутизатора зависит от производителя. Как правило, они расположены в разделе с названием вида «WLAN | Безопасность».

Если в вашей беспроводной сети используется незащищенное соединение, следует быть особенно осторожным с контентом, который расположен в папках с общим доступом, так как в отсутствие защиты он находится в полном распоряжении остальных пользователей. При этом в операционной системе Windows XP Home ситуация с общим доступом просто катастрофическая: по умолчанию здесь вообще нельзя устанавливать пароли - данная функция присутствует только в профессиональной версии. Вместо этого все сетевые запросы выполняются через незащищенную гостевую учетную запись. Обезопасить сеть в Windows XP можно c помощью небольшой манипуляции: запустите командную строку, введите «net user guest ВашНовыйПароль» и подтвердите операцию нажатием клавиши «Enter». После перезагрузки Windows получить доступ к сетевым ресурсам можно будет только при наличии пароля, однако более тонкая настройка в этой версии ОС, к сожалению, не представляется возможной. Значительно более удобно управление настройками общего доступа реализовано в Windows 7. Здесь, чтобы ограничить круг пользователей, достаточно в Панели управления зайти в «Центр управления сетями и общим доступом» и создать домашнюю группу, защищенную паролем.

Отсутствие должной защиты в беспроводной сети является источником и других опасностей, так как хакеры могут с помощью специальных программ (снифферов) выявлять все незащищенные соединения. Таким образом, взломщикам будет несложно перехватить ваши идентификационные данные от различных сервисов.

Хакеры

Как и прежде, сегодня наибольшей популярностью пользуются два способа защиты: фильтрация по MAC-адресам и скрытие SSID (имени сети): эти меры защиты не обеспечат вам безопасности. Для того чтобы выявить имя сети, взломщику достаточно WLAN-адаптера, который с помощью модифицированного драйвера переключается в режим мониторинга, и сниффера - например, Kismet. Взломщик ведет наблюдение за сетью до тех пор, пока к ней не подключится пользователь (клиент). Затем он манипулирует пакетами данных и тем самым «выбрасывает» клиента из сети. При повторном подсоединении пользователя взломщик видит имя сети. Это кажется сложным, но на самом деле весь процесс занимает всего несколько минут. Обойти MAC-фильтр также не составляет труда: взломщик определяет MAC-адрес и назначает его своему устройству. Таким образом, подключение постороннего остается незамеченным для владельца сети.

Если ваше устройство поддерживает только WEP-шифрование, срочно примите меры - такой пароль за несколько минут могут взломать даже непрофессионалы.

Особой популярностью среди кибермошенников пользуется пакет программ Aircrack-ng, который помимо сниффера включает в себя приложение для загрузки и модификации драйверов WLAN-адаптеров, а также позволяет выполнять восстановление WEP-ключа. Известные методы взлома - это PTW- и FMS/KoreKатаки, при которых перехватывается трафик и на основе его анализа вычисляется WEP-ключ. В данной ситуации у вас есть только две возможности: сначала вам следует поискать для своего устройства актуальную прошивку, которая будет поддерживать новейшие методы шифрования. Если же производитель не предоставляет обновлений, лучше отказаться от использования такого устройства, ведь при этом вы ставите под угрозу безопасность вашей домашней сети.

Популярный совет сократить радиус действия Wi-Fi дает только видимость защиты. Соседи все равно смогут подключаться к вашей сети, а злоумышленники зачастую пользуются Wi-Fi-адаптерами с большим радиусом действия.

Публичные точки доступа

Места со свободным Wi-Fi привлекают кибермошенников, так как через них проходят огромные объемы информации, а воспользоваться инструментами взлома может каждый. В кафе, отелях и других общественных местах можно найти публичные точки доступа. Но другие пользователи этих же сетей могут перехватить ваши данные и, например, взять под свой контроль ваши учетные записи на различных веб-сервисах.

Защита Cookies. Некоторые методы атак действительно настолько просты, что ими может воспользоваться каждый. Расширение Firesheep для браузера Firefox автоматически считывает и отображает в виде списка аккаунты других пользователей, в том числе на Amazon, в Google, Facebook и Twitter. Если хакер щелкнет по одной из записей в списке, он сразу же получит полный доступ к аккаунту и сможет изменять данные пользователя по своему усмотрению. Firesheep не осуществляет взлом паролей, а только копирует активные незашифрованные cookies. Чтобы защититься от подобных перехватов, следует пользоваться специальным дополнением HTTPS Everywhere для Firefox. Это расширение вынуждает онлайн-сервисы постоянно использовать зашифрованное соединение через протокол HTTPS, если он поддерживается сервером поставщика услуг.

Защита Android. В недавнем прошлом всеобщее внимание привлекла недоработка в операционной системе Android, из-за которой мошенники могли получить доступ к вашим аккаунтам в таких сервисах, как Picasa и «Календарь Google», а также считывать контакты. Компания Google ликвидировала эту уязвимость в Android 2.3.4, но на большинстве устройств, ранее приобретенных пользователями, установлены более старые версии системы. Для их защиты можно использовать приложение SyncGuard.

WPA 2

Наилучшую защиту обеспечивает технология WPA2, которая применяется производителями компьютерной техники еще с 2004 года. Большинство устройств поддерживают этот тип шифрования. Но, как и другие технологии, WPA2 тоже имеет свое слабое место: с помощью атаки по словарю или метода bruteforce («грубая сила») хакеры могут взламывать пароли - правда, лишь в случае их ненадежности. Словари просто перебирают заложенные в их базах данных ключи - как правило, все возможные комбинации чисел и имен. Пароли наподобие «1234» или «Ivanov» угадываются настолько быстро, что компьютер взломщика даже не успевает нагреться.

Метод bruteforce предполагает не использование готовой базы данных, а, напротив, подбор пароля путем перечисления всех возможных комбинаций символов. Таким способом взломщик может вычислить любой ключ - вопрос только в том, сколько времени ему на это потребуется. NASA в своих инструкциях по безопасности рекомендует пароль минимум из восьми символов, а лучше - из шестнадцати. Прежде всего важно, чтобы он состоял из строчных и прописных букв, цифр и специальных символов. Чтобы взломать такой пароль, хакеру потребуются десятилетия.

Пока еще ваша сеть защищена не до конца, так как все пользователи внутри нее имеют доступ к вашему маршрутизатору и могут производить изменения в его настройках. Некоторые устройства предоставляют дополнительные функции защиты, которыми также следует воспользоваться.

Прежде всего отключите возможность манипулирования роутером через Wi-Fi. К сожалению, эта функция доступна лишь в некоторых устройствах - например, маршрутизаторах Linksys. Все современные модели роутеров также обладают возможностью установки пароля к интерфейсу управления, что позволяет ограничить доступ к настройкам.

Как и любая программа, прошивка роутера несовершенна - небольшие недоработки или критические дыры в системе безопасности не исключены. Обычно информация об этом мгновенно распространяется по Сети. Регулярно проверяйте наличие новых прошивок для вашего роутера (у некоторых моделей есть даже функция автоматического обновления). Еще один плюс перепрошивок в том, что они могут добавить в устройство новые функции.

Периодический анализ сетевого трафика помогает распознать присутствие незваных гостей. В интерфейсе управления роутером можно найти информацию о том, какие устройства и когда подключались к вашей сети. Сложнее выяснить, какой объем данных загрузил тот или иной пользователь.

Гостевой доступ — средство защиты домашней сети

Если вы защитите роутер надежным паролем при использовании шифрования WPA2, вам уже не будет угрожать никакая опасность. Но только до тех пор, пока вы не передадите свой пароль другим пользователям. Друзья и знакомые, которые со своими смартфонами, планшетами или ноутбуками захотят выйти в Интернет через ваше подключение, являются фактором риска. Например, нельзя исключать вероятность того, что их устройства заражены вредоносными программами. Однако из-за этого вам не придется отказывать друзьям, так как в топовых моделях маршрутизаторов, например Belkin N или Netgear WNDR3700, специально для таких случаев предусмотрен гостевой доступ. Преимущество данного режима в том, что роутер создает отдельную сеть с собственным паролем, а домашняя не используется.

Надежность ключей безопасности

WEP (WIRED EQUIVALENT PRIVACY). Использует генератор псевдослучайных чисел (алгоритм RC4) для получения ключа, а также векторы инициализации. Так как последний компонент не зашифрован, возможно вмешательство третьих лиц и воссоздание WEP-ключа.

WPA (WI-FI PROTECTED ACCESS) Основывается на механизме WEP, но для расширенной защиты предлагает динамический ключ. Ключи, сгенерированные с помощью алгоритма TKIP, могут быть взломаны посредством атаки Бека-Тевса или Охигаши-Мории. Для этого отдельные пакеты расшифровываются, подвергаются манипуляциям и снова отсылаются в сеть.

WPA2 (WI-FI PROTECTED ACCESS 2) Задействует для шифрования надежный алгоритм AES (Advanced Encryption Standard). Наряду с TKIP добавился протокол CCMP (Counter-Mode/CBC-MAC Protocol), который также базируется на алгоритме AES. Защищенную по этой технологии сеть до настоящего момента взломать не удавалось. Единственной возможностью для хакеров является атака по словарю или «метод грубой силы», когда ключ угадывается путем подбора, но при сложном пароле подобрать его невозможно.

Что в наше время может быть важнее, чем защита своей домашней Wi-Fi сети 🙂 Это очень популярная тема, на которую уже только на этом сайте написана не одна статья. Я решил собрать всю необходимую информацию по этой теме на одной странице. Сейчас мы подробно разберемся в вопросе защиты Wi-Fi сети. Расскажу и покажу, как защитить Wi-Fi паролем, как правильно это сделать на роутерах разных производителей, какой метод шифрования выбрать, как подобрать пароль, и что нужно знать, если вы задумали сменить пароль беспроводной сети.

В этой статье мы поговорим именно о защите домашней беспроводной сети . И о защите только паролем. Если рассматривать безопасность каких-то крупных сетей в офисах, то там к безопасности лучше подходить немного иначе (как минимум, другой режим аутентификации) . Если вы думаете, что одного пароля мало для защиты Wi-Fi сети, то я бы советовал вам не заморачиваться. Установите хороший, сложный пароль по этой инструкции, и не беспокойтесь. Вряд ли кто-то будет тратить время и силы, что бы взломать вашу сеть. Да, можно еще например скрыть имя сети (SSID), и установить фильтрацию по MAC-адресам, но это лишние заморочки, которые в реальности будут только приносить неудобства при подключении и использовании беспроводной сети.

Если вы думаете о том, защищать свой Wi-Fi, или оставить сеть открытой, то решение здесь может быть только одним – защищать. Да, интернет безлимитный, да практически у все дома установлен свой роутер, но к вашей сети со временем все ровно кто-то подключится. А для чего нам это, ведь лишние клиенты, это лишняя нагрузка на роутер. И если он у вас не дорогой, то этой нагрузки он просто не выдержит. А еще, если кто-то подключится к вашей сети, то он сможет получить доступ к вашим файлам (если настроена локальная сеть) , и доступ к настройкам вашего роутера (ведь стандартный пароль admin, который защищает панель управления, вы скорее всего не сменили) .

Обязательно защищайте свою Wi-Fi сеть хорошим паролем с правильным (современным) методом шифрования. Устанавливать защиту я советую сразу при настройке маршрутизатора. А еще, не плохо бы время от времени менять пароль.

Если вы переживаете, что вашу сеть кто-то взломает, или уже это сделал, то просто смените пароль, и живите спокойно. Кстати, так как вы все ровно будете заходит в панель управления своего роутера, я бы еще советовал , который используется для входа в настройки маршрутизатора.

Правильная защита домашней Wi-Fi сети: какой метод шифрования выбрать?

В процессе установки пароля, вам нужно будет выбрать метод шифрования Wi-Fi сети (метод проверки подлинности) . Я рекомендую устанавливать только WPA2 - Personal , с шифрованием по алгоритму AES . Для домашней сети, это лучшее решения, на данный момент самое новое и надежное. Именно такую защиту рекомендуют устанавливать производители маршрутизаторов.

Только при одном условии, что у вас нет старых устройств, которые вы захотите подключить к Wi-Fi. Если после настройки у вас какие-то старые устройства откажутся подключатся к беспроводной сети, то можно установить протокол WPA (с алгоритмом шифрования TKIP) . Не советую устанавливать протокол WEP, так как он уже устаревший, не безопасный и его легко можно взломать. Да и могут появится проблемы с подключением новых устройств.

Сочетание протокола WPA2 - Personal с шифрованием по алгоритму AES , это оптимальный вариант для домашней сети. Сам ключ (пароль) , должен быть минимум 8 символов. Пароль должен состоять из английских букв, цифр и символов. Пароль чувствителен к регистру букв. То есть, "111AA111" и "111aa111" – это разные пароли.

Я не знаю, какой у вас роутер, поэтому, подготовлю небольшие инструкции для самых популярных производителей.

Если после смены, или установки пароля у вас появились проблемы с подключением устройств к беспроводной сети, то смотрите рекомендации в конце этой статьи.

Советую сразу записать пароль, который вы будете устанавливать. Если вы его забудете, то придется устанавливать новый, или .

Защищаем Wi-Fi паролем на роутерах Tp-Link

Подключаемся к роутеру (по кабелю, или по Wi-Fi) , запускаем любой браузер и открываем адрес 192.168.1.1, или 192.168.0.1 (адрес для вашего роутера, а так же стандартные имя пользователя и пароль указаны на наклейке снизу самого устройства) . Укажите имя пользователя и пароль. По умолчанию, это admin и admin. В , я подробнее описывал вход в настройки.

В настройках перейдите на вкладку Wireless (Беспроводной режим) - Wireless Security (Защита беспроводного режима). Установите метку возле метода защиты WPA/WPA2 - Personal(Recommended) . В выпадающем меню Version (версия) выберите WPA2-PSK . В меню Encryption (шифрование) установите AES . В поле Wireless Password (Пароль PSK) укажите пароль, для защиты своей сети.

Установка пароля на роутерах Asus

В настройках нам нужно открыть вкладку Беспроводная сеть , и выполнить такие настройки:

• В выпадающем меню "Метод проверки подлинности" выбираем WPA2 - Personal.
• "Шифрование WPA" - устанавливаем AES.
• В поле "Предварительный ключ WPA" записываем пароль для нашей сети.

Для сохранения настроек нажмите на кнопку Применить .

Подключите свои устройства к сети уже с новым паролем.

Защищаем беспроводную сеть роутера D-Link

Зайдите в настройки своего роутера D-Link по адресу 192.168.0.1. Можете смотреть подробную инструкцию . В настройках откройте вкладку Wi-Fi - Настройки безопасности . Установите тип безопасности и пароль, как на скриншоте ниже.

Установка пароля на других маршрутизаторах

У нас есть еще подробные инструкции для роутеров ZyXEL и Tenda. Смотрите по ссылкам:

Если вы не нашли инструкции для своего роутера, то настроить защиту Wi-Fi сети вы сможете в панели управления своим маршрутизатором, в разделе настроек, который называется: настройки безопасности, беспроводная сеть, Wi-Fi, Wireless и т. д. Найти я думаю будет не сложно. А какие настройки устанавливать, я думаю вы уже знаете: WPA2 - Personal и шифрование AES. Ну и ключ.

Если не сможете разобраться, спрашивайте в комментариях.

Что делать, если устройства не подключаются после установки, смены пароля?

Очень часто, после установки, а особенно смены пароля, устройства которые раньше были подключены к вашей сети, не хотят к ней подключатся. На компьютерах, это как правило ошибки "Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети" и "Windows не удалось подключится к…". На планшетах, и смартфонах (Android, iOS) так же могут появляться ошибки типа "Не удалось подключится к сети", "Подключено, защищено" и т. д.

Решаются эти проблемы простым удалением беспроводной сети, и повторным подключением, уже с новым паролем. Как удалить сеть в Windows 7, я писал . Если у вас Windows 10, то нужно "забыть сеть" по . На мобильных устройствах нажмите на свою сеть, подержите, и выберите "Удалить" .

Если проблемы с подключением наблюдаются на старых устройствах, то установите в настройках роутера протокол защиты WPA, и шифрование TKIP.

Сегодня будет достаточно большой пост о том, как создать безопасную сеть wi-fi дома, защитить от взлома домашние компьютеры, подключенные к этой сети, смартфоны и планшеты на примере RT-N12VP.

Итак, предварительно уясним, что защищённость вашей беспроводной сети определяется самым слабым её звеном. Сегодня обратимся к базовым настройкам безопасности, которые у вас должны быть.

Положим, что дома у вас 2 стационарных компьютера, 2 ноутбука, 3 планшета и 4 смартфона.О прочем, типа TV приставки, wi-fi МФУ и медиацентрах-серверах на Андроиде я не говорю.

Проверьте, что антивирусы у вас установлены на все устройства.

Это важно. Если Одно из устройств заражено, то заражение остальных — дело ближайшего времени. Так, смартфоны на Андроиде могут распространять рекламные вирусы по локальной сети с большим успехом.

Отключаем автоматический поиск сетей на мобильных устройствах. Дело в том, что вы можете вполне стать жертвой мошенников, которые специально создают открытые точки доступа с целью хищения данных.

Очищайте список сетей, запомненных вашими устройствами. Оставьте только знакомые безопасные сети: домашнюю, рабочую.

Для предотвращения хищения средств, «увода» аккаунтов почты, социальных сетей и других сайтов, пользуйтесь, где возможно, двухфакторной аутентификацией.

Хорошо, устройства вы защитили, на удочку мошенников с «бесплатным» wi-fi не попались. Что дальше? Настраиваем безопасный wi-fi .

Центр вашей вселенной wi-fi в квартире — ваша точка доступа (роутер). В подавляющем большинства случаев она защищена только паролем и логином. Давайте попробуем сделать вашу домашнюю wi-fi сеть более защищённой.

Устанавливаем — Метод проверки подлинности (уровень безопасности) — WPA2-Personal

Ключ WPA-PSK (пароль сети) — типа такого FD5#2dsa/dSx8z0*65FdqZzb38 . Да, такой пароль сложно запомнить, но и сложнее подобрать. Дело в том, что существуют программы подбора паролей wi-fi путём полного перебора. Подбор пароля в таком случае — дело времени. Даже на смартфон можно скачать подобную программу, например, и попробовать, сколько пройдёт времени прежде чем вы подберёте пароль к своей сети.

Переходим в настройки Беспроводная сеть — Фильтр MAC-адресов беспроводной сети

Фильтр MAC-адресов беспроводной сети позволяет управлять пакетами от устройств с определенным MAC-адресом в беспроводной ЛВС.

Говоря проще, к вашей точке доступа смогут подключиться только те устройства, MAC-адреса которых разрешены для подключения. Как выяснить эти адреса? Можно посмотреть в настройках устройств и вписать в настройки роутера. Можно включать wi-fi поочерёдно на каждом, сверять данные с данными, которые отобразились в карте сети роутера и вводить эти адреса в Фильтр MAC-адресов беспроводной сети.

На смартфоне Андроид MAC адрес находится Настройки -> О телефоне -> Общая информация ->МАС-адрес Wi-Fi.

Если вы живёте один или, по крайней мере, есть промежуток времени, когда вы не пользуетесь беспроводной сетью, то можно её отключить. Находятся эти настройки в разделе Беспроводная сеть — Профессионально

Также в разделе Администрирование — Система отключаем доступ через Telnet ивеб-доступ из WAN . Таким образом удалённо подключиться к роутеру будет затруднительно. Если в настройках есть брандмауэр, то включаем его.

Продолжение следует.

Создаем защищенную wi-fi сеть

На первый взгляд, создать надежно защищенную wi-fi сеть очень трудно. Необходимо приобрести "правильное" оборудование, настроить сервер аутентификации, позаботиться об учете интернет трафика и защите от внешних атак посредством фаервола.

Всё это может отнять массу времени и денежных средств. В данной статье я расскажу об одном из самых дешевых и простых способов создания защищенной беспроводной сети с общим выходом в Интернет.

Часть 1. Немного о безопасности

Причина уязвимости беспроводных сетей заключена в принципе их работы: перехватить данные, передающиеся по радиоканалу, намного легче, чем при обычном кабельном соединении. Это не требует дорогостоящего оборудования и реализуемо при помощи обычного ноутбука, пары хакерских утилит (таких как airodump и aircrack) и хорошей инструкции по взлому wi-fi (как например здесь). Поэтому беспроводная сеть должна быть максимально защищена от различного рода атак: несанкционированных подключений, перехвата и прослушивания трафика, хищения важной информации, "ложных" точек доступа и т.п.

На сегодняшний день наиболее надежным для беспроводных сетей признан стандарт безопасности WPA (Wi-Fi Protected Access). Начальную защиту wi-fi сети можно обеспечить при помощи режима WPA-PSK (Pre-Shared Key), когда на точке доступа и на компьютере пользователя вручную вводится ключ сеанса связи - Pre-Shared Key, напоминающий обычный пароль. Потенциальная уязвимость WPA-PSK возникает из-за того, что в реальных сетях ключевая фраза редко меняется и одинакова для всех пользователей сети. При наличии времени и мощного компьютера подобрать такой пароль не составит особого труда.

Более надежная защита сети достигается при использовании режима WPA Enterprise, когда в сети установлен сервер аутентификации (RADIUS сервер), осуществляющий проверку прав доступа пользователей. В таком случае беспроводная точка доступа будет блокировать все подключения к беспроводной сети до тех пор, пока вводимые пользователем имя и пароль не пройдут проверку на сервере аутентификации. Если пользователя нет в базе данных RADIUS сервера, то он не сможет подключиться к wi-fi сети.

Максимальную защиту беспроводной сети обеспечивает использование цифровых сертификатов и метода аутентификации EAP-TLS (Extensible Authentication Protocol - Transport Level Security). В таком случае компьютер пользователя и RADIUS сервер проверяют друг друга по заранее сгенерированным цифровым сертификатам, что гарантировано защитит вашу сеть от несанкционированных подключений, а пользователей - от внедряемых хакерами "ложных" точек доступа.

Для ещё более надежной защиты передаваемых данных можно создать внешнюю защитную оболочку беспроводной сети, используя технологию VPN (Virtual Private Network) поверх WPA, что добавит второй уровень шифрования трафика.

И, наконец, защититься от несанкционированных точек доступа, втайне устанавливаемых вашими сотрудниками, можно при помощи специального сетевого оборудования, умеющего выявлять подобные устройства и генерировать соответствующие отчеты.

Построить такую систему защиты беспроводной сети под силу немногим: нужно, как минимум, правильно настроить беспроводную точку доступа и сервер авторизации RADIUS, создать Базу данных пользователей, разработать систему управления этой базой и цифровыми сертификатами, и самое главное - объединить все эти компоненты в единую сеть.

Но, несмотря на кажущуюся сложность, создать максимально защищенную wi-fi сеть достаточно легко. Для этого необязательно быть гуру в инфобезопасности и беспроводных стандартах. Всё можно сделать за час-полтора, имея:

• отдельный компьютер;
• беспроводную точку доступа, поддерживающую WPA, WPA2 и авторизацию на RADIUS-сервере (данные характеристики точки доступа можно узнать из её документации или у консультантов в компьютерном магазине);
• программу Esomo, которая будет играть роль RADIUS сервера, а также сервера общего доступа в Интернет. Официальный сайт разработчика программы: www.esomoline.com. Для защиты беспроводной сети Esomo использует протокол EAP-TLS, предусматривающий аутентификацию пользователей на встроенном RADIUS сервере и взаимную проверку подлинности между RADIUS сервером Esomo и компьютерами пользователей по цифровым сертификатам.

Часть 2. Пример создания защищенной беспроводной сети

Теперь рассмотрим пример организации локальной wi-fi сети на базе Esomo. Сеть включает 11 компьютеров, беспроводную точку доступа Linksys и подключена к Интернету через ADSL модем.

Прежде всего, скачиваем Esomo с сайта разработчика (размер дистрибутива 135 Мб) и устанавливаем серверную часть программы на отдельный компьютер с двумя сетевыми картами. Это будет наш RADIUS сервер, а также VPN сервер и сервер доступа в Интернет, позволяющий ограничивать трафик пользователей, просматривать статистику доступа и расходов трафика. Для работы Esomo не требуется операционная система, т.к. в состав программы уже входит свободно распространяемая ОС FreeBSD. Пошаговую инструкцию по установке Esomo Вы можете найти здесь.

После установки программы подключаем компьютер с Esomo и беспроводную точку доступа к сетевому коммутатору. Через второй сетевой интерфейс подключаем сервер Esomo к ADSL-модему (или к кабелю, если у вас выделенная линия). На любом Windows-компьютере локальной сети (также подключенному к сетевому коммутатору) запускаем Esomo АРМ и подключаемся к серверу Esomo.

Создать защищенную беспроводную сеть на базе Esomo можно за 4 простых шага. Вначале мы займемся настройкой Esomo для работы с беспроводной сетью. Затем настроим беспроводную точку доступа и компьютеры пользователей. И, наконец, подключимся к wi-fi сети и установим VPN-соединение с сервером Esomo для создания второго уровня защиты беспроводного трафика. После этого можно безопасно работать в wi-fi сети и Интернет. Итак, приступим.

Шаг 1. Настройка сервера Esomo

Прежде всего, выдадим постоянный IP-адрес беспроводной точке доступа для работы в нашей сети. Для этого добавим точку доступа в список статического DHCP (МАС-адрес точки доступа обычно указан в наклейке на ней). Применим настройки.

Теперь добавим беспроводную точку доступа в список точек доступа на сервере Esomo и укажем для нее секретный ключ (пароль). Это необходимо для организации безопасного соединения между точкой доступа и Esomo. Применим настройки.

Чтобы пользователи сети могли выходить в Интернет, а Esomo учитывать их трафик, необходимо создать тариф, определяющий стоимость 1 Мб трафика или 1 минуты интернет соединения. Для этого в разделе "Тарифы" добавим новый тариф, определив стоимость 1 Мб входящего трафика, например в 1 рубль.

Поскольку на момент написания статьи Esomo разрешает доступ в Интернет только пользователям, имеющим тариф и средства на индивидуальном счете, зайдем в раздел "Пользователи" и дважды кликнув по пользователю testuser присвоим ему ранее созданный тариф и добавим на его счет 500 рублей.

На этом настройка сервера Esomo завершена. Оставляем окно Esomo АРМ открытым и переходим к настройке беспроводной точки доступа.

Шаг 2. Настройка беспроводной точки доступа

Получить доступ к беспроводной сети можно только после успешной авторизации на сервере Esomo, поэтому заранее необходимо настроить беспроводную точку доступа на работу с RADIUS сервером. Для этого подключимся к точке доступа через веб-браузер по IP-адресу, который мы ей ранее присвоили через Esomo АРМ на вкладке "DHCP". В качестве режима работы точки доступа укажем WPA-Enterprise, в качестве протокола шифрования - TKIP, в качестве RADIUS сервера - IP-адрес компьютера с Esomo. Также проверим, чтобы секретный ключ, прописанный в настройках точки доступа (Shared Secret) совпадал с ключом, указанным для точки доступа в Esomo АРМ (раздел "Wi-Fi", вкладка "Точки доступа").

Ниже приведу скриншот с настройками точки доступа Linksys.

Шаг 3. Настройка компьютера пользователя

Для двусторонней проверки подлинности между компьютером пользователя и сервером Esomo необходимо установить на ПК пользователя цифровые сертификаты и настроить его беспроводной адаптер на работу по протоколу EAP-TLS.

Авторизация пользователя на сервере Esomo происходит при участии двух цифровых сертификатов: корневого и пользовательского. Данные сертификаты необходимо получить через Esomo АРМ и установить на компьютер. Для этого зайдем в раздел "Wi-Fi" на вкладку "Сертификаты" и сохраним на наш компьютер корневой сертификат и сертификат пользователя testuser.

Теперь установим полученные цифровые сертификаты. Для этого достаточно дважды кликнуть мышью по сертификату и следовать указаниям Мастера импорта сертификатов.

С установкой корневого сертификата не должно возникнуть никаких сложностей: оставьте все настройки по умолчанию и просто нажимайте кнопки "Далее" и "Готово". А вот в процессе установки сертификата для пользователя testuser необходимо будет ввести пароль testuser, которым защищен этот сертификат.

На сервере Esomo уже присутствуют готовые сертификаты, поэтому туда устанавливать ничего не нужно.

Далее настроим беспроводной сетевой адаптер нашего ПК на работу с RADIUS сервером Esomo по протоколу EAP-TLS. Для этого в настройках беспроводного адаптера укажем использовать шифрование TKIP и проверку подлинности по протоколу WPA посредством цифровых сертификатов.

Из списка доверенных корневых центров сертификации выберем установленный ранее на наш компьютер корневой сертификат.

Итак, все настройки завершены и беспроводная сеть готова к работе. Отключаем наш компьютер от сетевого коммутатора и пытаемся подключиться к wi-fi сети. После поиска доступных сетей беспроводной адаптер обнаружит нашу защищенную сеть. После успешной аутентификации по цифровым сертификатам и проверки на RADIUS-сервере наш компьютер подключится к wi-fi сети. Осталось сделать последний шаг на пути к суперзащите нашей беспроводной сети.

Шаг 4. Создание второго уровня защиты - установка VPN соединения с шифрованием трафика

Максимальная защита беспроводного трафика в сети с Esomo достигается за счет использования технологии VPN поверх уже установленного беспроводного соединения по протоколу WPA, что добавляет второй уровень шифрования трафика. Создание VPN-соединения между компьютером пользователя и сервером Esomo происходит автоматически. Нужно всего лишь открыть веб-браузер и набрать адрес любого существующего сайта, например, www.google.ru. На странице авторизации Esomo в обоих полях формы введем testuser и нажмем кнопку "Соединить".

После успешной проверки логина и пароля между нашим ПК и сервером Esomo установится VPN соединение. Теперь можно безопасно работать в Интернете. Весь передаваемый трафик будет шифроваться не только средствами WPA, но и VPN. А через Esomo АРМ в любое время можно посмотреть статистику "накаченного" трафика и за пару кликов импортировать её в MS Excel.

Проверив, что всё работает, подключим остальные компьютеры к беспроводной сети и предоставим пользователям доступ в Интернет. Для этого создадим новых пользователей через Esomo АРМ, присвоим им добавленный ранее тариф. Потом создадим для этих пользователей цифровые сертификаты и установим на компьютер каждого пользователя корневой сертификат и его собственный пользовательский сертификат. Также не забудьте настроить беспроводной адаптер на компьютере каждого пользователя для работы с RADIUS сервером по протоколу EAP-TLS.

На этом настройка беспроводной сети с общим доступом в Интернет полностью завершена. На всё про всё у меня ушло менее двух часов. Согласитесь, что при помощи других средств было бы проблематично организовать хорошо защищенную wi-fi сеть с такими минимальными затратами времени и сил. При этом Esomo отлично работает как RADIUS сервер и сервер доступа в Интернет не только в wi-fi сетях, но и в проводных и смешанных ЛАН, когда одни сегменты сети объединены при помощи кабеля, а другие при помощи wi-fi.

19.10.16 63 380 0

Почему широта души может стоить вам денег

Евгений не поставил пароль на вайфай в своей квартире. Зачем заморачиваться? Пароль можно забыть. А то, что соседи могут пользоваться, - не жалко, всё равно интернет безлимитный. Так думает Евгений, и он крупно ошибается.

Николай Кругликов

юный хакер

Разберемся, почему открытый интернет дома - плохая идея и чем это может вам грозить.

Прослушивание

Точки доступа без пароля еще называют открытыми, и дело тут не только в пароле. В таких точках данные по вайфаю передаются без шифрования, в открытом виде. Поскольку вайфай - те же радиоволны, перехватить трафик очень легко: достаточно настроить антенну на нужную частоту и вы услышите всё, что передается между роутером и компьютером. Без пароля на роутере вы просто транслируете на всю округу, что вы сейчас делаете в интернете.

Если вы сидите на порносайте, любой ваш сосед сможет узнать, какой именно ролик вы смотрите. Если отправляете письмо, с большой вероятностью его можно будет перехватить в момент отправки. Если у вас «Вконтакте» без шифрования, то любой сосед сможет прочитать ваши личные сообщения.

Вайфай без пароля легко прослушать

Как защититься

Нужно поставить пароль на вайфай. Конечно, соединения с некоторыми сайтами шифруются с помощью HTTPS, а еще можно включить VPN, и всё же гораздо надежнее защитить сразу весь канал связи.

Упражнение: ставим пароль на вайфай

1. Откройте браузер и введите в адресную строку цифры 192.168.0.1. Если ничего не произошло, попробуйте 192.168.1.1 и 10.0.0.1. Появится окошко с полями для логина и пароля.
2. Введите логин admin и пароль admin. Если не подошли - посмотрите стандартный пароль в инструкции к роутеру. Скорее всего, это что-то простое. Иногда логин и пароль написаны прямо на корпусе роутера.
3. Найдите на странице ссылку с надписью Wi-Fi или Wireless. Откроется экран, где можно поменять пароль.

Если ничего не получается, вызовите мастера. Задача мастеру - запаролить ваш вайфай.

Установите для вайфая пароль длиной не менее десяти символов из цифр и букв. Пароль 12​345​678 - то же, что отсутствие пароля.

Все инструкции рассчитаны на домашний роутер. На работе или в кафе они вряд ли сработают, потому что сетевые администраторы отключают доступ к настройкам роутера для посторонних

Возможно, в настройках будет несколько вариантов шифрования. В каждом роутере разный набор опций, поэтому выберите вариант, наиболее похожий на WPA2-PSK (AES). Это самый надежный на сегодняшний день протокол шифрования. В сочетании с хорошим паролем он даст вам максимальную возможную защиту.

Надежный протокол шифрования - это важно. Плохой протокол, как и плохой пароль, облегчает взлом. Например, устаревший протокол WEP можно взломать за несколько часов.

Выбор алгоритма шифрования в настройках роутера. WPA2-PSK - лучший вариант из этого набора

Убедитесь, что у вас выключен WPS. Эта технология позволяет подключаться к роутеру по пину из восьми цифр. К сожалению, после массового внедрения WPS выяснилось, что он крайне небезопасен: нужно всего 10 часов, чтобы взломать соединение даже с самым надежным протоколом. Настройки WPS где-то там же, где и настройки вайфая.

Манипуляции с настройками роутера

Когда хакеры подключаются к вашему вайфаю, они получают доступ к панели управления роутером и могут перенастроить его на свой лад. Чтобы влезть в ваш роутер, достаточно просто подключиться к вайфаю - находиться в квартире необязательно. Какой-нибудь пакостный школьник может ковыряться в настройках вашего роутера прямо сейчас.

Обычно попасть в настройки роутера не так просто: нужно ввести логин и пароль. Но у большинства людей на роутере стоят стандартные логин и пароль - admin / admin. Если вы не меняли эту настройку специально, велика вероятность, что любой хакер сможет влезть в роутер.

Получив доступ к панели управления, хакеры легко проведут атаку посредника: сделают так, чтобы между вами и сайтом стоял зловредный сервис, который ворует пароли. Например, по адресу tinkoff.ru будет открываться не настоящий, а поддельный сайт, который будет отправлять им всё, что вы вводите. Вы даже не узнаете, что попали на зловредный сервис: он будет выглядеть в точности как настоящий интернет-банк и даже пустит вас по вашему логину и паролю. Но при этом логин и пароль окажутся у хакеров.

Роутер со стандартными настройками легко перенаправить на поддельный сайт

Как защититься

Смените в настройках роутера стандартный пароль администратора на свой. Он должен быть не менее надежным, чем пароль от вайфая, и при этом должен быть другим.

Удаленный доступ

Хакеры редко интересуются конкретно вами, если вы не топ-менеджер крупной компании. Чаще обычные люди попадают под автоматизированные атаки, когда хакерская программа ищет потенциальных жертв и пытается применить стандартный алгоритм взлома.

В некоторых роутерах есть возможность подключаться к веб-интерфейсу из внешней сети - то есть зайти в настройки роутера можно из любого места, где есть интернет, а не только из дома.

Это значит, что на ваш роутер могут напасть не только пакостливые школьники. Атака может происходить не целенаправлено: просто какой-нибудь хакер в Перу сканирует определенный диапазон адресов на предмет открытых роутеров. Его программа видит ваш роутер. Подключается. Хакер даже не знает, кто вы и где вы - он просто настраивает переадресацию и возвращается к своим делам. И в его хакерскую программу падает ваш логин от Фейсбука, например.